Windows, Remote

Windows Remote Assistance: Kritische Sicherheitslücke umgeht Basisschutz

15.01.2026 - 19:23:12

Eine kritische Schwachstelle in Windows Remote Assistance erlaubt es, das Sicherheitsprotokoll 'Mark of the Web' zu umgehen und schädliche Dateien ohne Warnung auszuführen. Microsoft hat Updates für alle betroffenen Systeme bereitgestellt.

Windows Remote Assistance: Kritische Sicherheitslücke umgeht Basisschutz - Foto: über boerse-global.de
Windows Remote Assistance: Kritische Sicherheitslücke umgeht Basisschutz - Foto: über boerse-global.de

Eine schwerwiegende Sicherheitslücke in der Windows-Funktion Remote Assistance ermöglicht es Angreifern, das grundlegende Windows-Sicherheitsprotokoll „Mark of the Web“ zu umgehen. Das als CVE-2026-20824 geführte Risiko betrifft Millionen Systeme und erfordert sofortiges Handeln.

Microsoft stufte die am 13. Januar 2026 im Rahmen des ersten „Patch Tuesday“ des Jahres veröffentlichte Lücke als „wichtig“ ein. Sie betrifft Windows 10, Windows 11 und zahlreiche Windows Server-Editionen. Die Schwachstelle mit einem CVSS-Score von 5,5 ermöglicht es, speziell präparierte Dateien ohne die üblichen Sicherheitswarnungen auszuführen – eine gefährliche Einladung für Malware.

Wie der „Mark of the Web“ ausgehebelt wird

Der „Mark of the Web“ (MotW) ist eine zentrale Sicherheitsbarriere in Windows. Lädt ein Nutzer eine Datei aus dem Internet herunter, kennzeichnet Windows diese mit einem speziellen Attribut. Diese Kennzeichnung löst Sicherheitshinweise aus und aktiviert Schutzfunktionen wie den geschützten Modus in Microsoft Office.

Die Lücke nutzt einen Fehler im Mechanismus von Windows Remote Assistance. Eine bösartige Datei kann so manipuliert werden, dass sie bei der Öffnung diese Schwachstelle ausnutzt. Die Folge: Das System behandelt die eigentlich unsichere Internet-Datei wie eine vertrauenswürdige lokale Datei. Die eigentliche Gefahr liegt nicht in einer neuen Code-Ausführung, sondern darin, bösartige Inhalte vertrauenswürdig erscheinen zu lassen. Damit werden viele Sicherheitstools ausgehebelt, die auf die MotW-Kennzeichnung angewiesen sind.

Anzeige

Viele Unternehmen sind auf neue Windows‑Schwachstellen wie CVE‑2026‑20824 nicht vorbereitet. Das kostenlose E‑Book “Cyber Security Awareness Trends” fasst aktuelle Bedrohungen zusammen, erklärt, wie Angreifer MotW‑Umgehungen ausnutzen und welche technischen sowie organisatorischen Maßnahmen jetzt dringend erforderlich sind – von Patch‑Management über EDR bis zu Awareness‑Schulungen. Praxisnahe Checklisten helfen IT‑Verantwortlichen und Admins beim sofortigen Handeln, ohne großes Budget. Jetzt Cyber‑Security‑Report herunterladen

So könnten Angriffe ablaufen

Die Ausnutzung der Schwachstelle erfordert die Interaktion eines Nutzers und setzt auf Social Engineering. Typische Angriffsszenarien sind Phishing-E-Mails mit manipulierten Anhängen oder der Download von kompromittierten Webseiten. Ein Nutzer wird dazu verleitet, eine Datei herunterzuladen und zu öffnen.

Gelingt dies, wird die MotW-Kennzeichnung umgangen. Malware, die sonst blockiert worden wäre, kann nun ohne Warnung ausgeführt werden. Die Lücke selbst gewährt Angreifern keine Systemrechte, dient aber als perfekter Türöffner für Folgeschadsoftware wie Spyware oder Datendiebe. Besonders gefährlich ist sie in Szenarien, in denen ein Angreifer bereits ersten Zugriff erlangt hat.

Betroffene Systeme und Updates

Das Ausmaß der Schwachstelle ist enorm: 29 verschiedene Windows-Konfigurationen sind betroffen. Dazu gehören:
* Windows 10 (Versionen 1607, 1809, 21H2, 22H2)
* Windows 11 (Versionen 23H2, 24H2, 25H2)
* Windows Server 2012, 2012 R2, 2019, 2022 und 2025

Microsoft hat für alle betroffenen Systeme Sicherheitsupdates bereitgestellt. Für Administratoren ist die Installation dieser Patches oberste Priorität. Wichtige Updates sind beispielsweise KB5073724 für Windows 10 22H2 oder KB5073455 bzw. KB5074109 für Windows 11. Die Updates müssen sowohl auf Arbeitsplatzrechnern als auch auf Servern dringend eingespielt werden.

Schutzmaßnahmen über das Patchen hinaus

Die Lücke zeigt einen Trend: Angreifer zielen gezielt auf die Umgehung des „Mark of the Web“ als erste Verteidigungslinie. Neben der sofortigen Installation der Patches sind weitere defensive Maßnahmen entscheidend:

  • Nutzeraufklärung: Da Social Engineering der Schlüssel ist, bleibt kontinuierliche Security-Awareness-Schulung unverzichtbar. Mitarbeiter müssen für die Gefahren durch unbekannte Anhänge und Downloads sensibilisiert werden.
  • E-Mail-Sicherheit: Moderne Filterlösungen können viele schädliche Dateien bereits abfangen, bevor sie den Posteingang erreichen.
  • Endpoint Detection and Response (EDR): EDR-Systeme können verdächtiges Verhalten erkennen und blockieren, das nach einer MotW-Umgehung auftritt, und bieten so eine zusätzliche Sicherheitsebene.

Die Entdeckung von CVE-2026-20824 unterstreicht das permanente Wettrennen zwischen Angreifern und Verteidigern. Selbst grundlegende Sicherheitsfunktionen erfordern ständige Wachsamkeit und zeitnahe Updates, um gegen eine sich ständig weiterentwickelnde Bedrohungslage wirksam zu bleiben.

Anzeige

PS: Diese Lücke macht deutlich, wie schnell Bedrohungen eskalieren können. Der Gratis‑Report zeigt neben technischen Schutzmaßnahmen auch aktuelle rechtliche Entwicklungen und einfache Sofortmaßnahmen, mit denen Sie das Risiko für Ihre Organisation verringern – inklusive konkreter Maßnahmenlisten für Admins, Empfehlungen zu EDR und E‑Mail‑Filtern sowie Priorisierung für Patch‑Rollouts. Profitieren Sie von praxisnahen Handlungsanweisungen, die Sie sofort umsetzen können. Jetzt kostenlosen Cyber‑Security‑Report sichern

@ boerse-global.de
Lerne live von den Börsen-Profis – melde dich jetzt kostenlos an.