Cyberangriffe nutzen Windows-WebDAV als Hintertür

Eine neue Angriffswelle missbraucht das tief in Windows verankerte WebDAV-Protokoll. Sicherheitsforscher von Cofense Intelligence beobachten derzeit eine Kampagne, bei der Angreifer gezielte Phishing-Mails verschicken. Diese enthalten speziell präparierte Links, die den Windows Explorer statt den Browser öffnen.

Für den Nutzer sieht der Vorgang harmlos aus – wie der Zugriff auf ein normales Netzlaufwerk. Doch im Hintergrund baut das System eine Verbindung zu einem fremden WebDAV-Server auf. Wird dort eine Datei geöffnet, installiert sich automatisch ein Remote-Access-Trojaner. Die Angreifer erhalten dann die volle Kontrolle über das kompromittierte System.

Da Cyberkriminelle gezielt Schwachstellen in Windows-Systemen ausnutzen, ist ein sicher konfigurierter PC heute wichtiger denn je. Dieser kostenlose Praxis-Guide zeigt Ihnen, wie Sie den Umstieg auf das modernste Microsoft-Betriebssystem sicher und ohne Datenverlust meistern. Windows 11 Komplettpaket jetzt kostenlos anfordern

Warum dieser Angriff so heimtückisch ist

Die Methode setzt auf das Vertrauen der Nutzer in native Windows-Funktionen. Die Phishing-Mails sind oft täuschend echt gestaltet und fordern zum Klick auf einen Link auf. Dieser nutzt spezielle Pfade wie „file://“, um direkt den Explorer zu aktivieren.

Der entscheidende Vorteil für die Angreifer: Da der Prozess über den Explorer und nicht über den Browser läuft, umgeht er viele gängige Web-Sicherheitsfilter. Browser-Schutzmechanismen greifen hier nicht. Die eingeschleuste Schadsoftware kann dann Daten stehlen, Tastatureingaben aufzeichnen oder weitere Malware nachladen.

Ein altbekanntes Risiko mit neuer Gefahr

WebDAV ist eine Technologie aus den späten 1990er Jahren, die in modernen Windows-Versionen weiterhin tief integriert ist. Das Protokoll erlaubt es, Dateien auf Webservern zu verwalten, als wären sie lokal gespeichert. Genau diese Funktionalität wird nun missbraucht.

Das grundlegende Problem: Aktionen über WebDAV im Explorer stuften viele Sicherheitssysteme bisher als weniger riskant ein als Browser-Downloads. Diese Lücke nutzen die Cyberkriminelle jetzt aus. Obwohl Microsoft Anleitungen zur Deaktivierung des zugehörigen WebClient-Dienstes bereitstellt, bleibt dieser in vielen Unternehmen für interne Abläufe aktiv – und bietet eine Angriffsfläche.

Die Blaupause: Der „Stealth Falcon“ Zero-Day

Die aktuelle Gefahr ist nicht völlig neu. Bereits im Juni 2025 schloss Microsoft eine kritische Zero-Day-Lücke (CVE-2025-33053), die aktiv ausgenutzt wurde. Die hochspezialisierte Hacker-Gruppe „Stealth Falcon“ nutzte sie für Spionageangriffe auf Verteidigungs- und Regierungsorganisationen.

Ihre Methode war ähnlich: Sie verschickten manipulierte Internet-Shortcuts per E-Mail. Beim Öffnen wurde das Arbeitsverzeichnis eines Windows-Diagnosetools auf einen bösartigen WebDAV-Server umgeleitet. Das Tool lud dann unbemerkt die Schadsoftware „Horus Agent“ nach – ein mächtiges Spionage-Implantat.

Phishing-Angriffe werden immer raffinierter und nutzen oft psychologische Tricks, um Sicherheitsbarrieren in Unternehmen zu umgehen. Erfahren Sie in diesem Experten-Guide, wie Sie Ihre Organisation in 4 Schritten effektiv vor modernen Hacker-Methoden und Betrugsmaschen schützen. Kostenloses Anti-Phishing-Paket herunterladen

Wie können sich Nutzer schützen?

Die Angriffe zeigen einen klaren Trend: Cyberkriminelle setzen vermehrt auf „Living-off-the-Land“-Techniken. Sie missbrauchen legitime Systemwerkzeuge, um unentdeckt zu bleiben. Herkömmliche Signatur-basierte Schutzprogramme stoßen hier an Grenzen.

Experten empfehlen daher mehrere Maßnahmen. Administratoren sollten den WebClient-Dienst deaktivieren, sofern er nicht zwingend benötigt wird. Der ausgehende Netzwerkverkehr sollte auf verdächtige WebDAV-Verbindungen überwacht werden. Entscheidend ist auch die Sensibilisierung der Mitarbeiter für diese Art von Phishing.

Technisch bieten moderne Sicherheitslösungen mit Verhaltensanalyse einen besseren Schutz. Sie erkennen und blockieren anomale Prozessketten – wie die Ausführung von Code aus einer Netzwerkquelle durch den Explorer. Für Unternehmen wird diese Art der Verteidigung immer wichtiger.