CISA erweitert KEV-Katalog: Zwei kritische Sicherheitslücken bedrohen Netzwerke weltweit

Die US-Cybersicherheitsbehörde CISA hat zwei gefährliche Schwachstellen in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. Betroffen sind Windows-Systeme und die Fernwartungssoftware ConnectWise ScreenConnect.

Zero-Click-Exploit in Windows Shell entdeckt

Die erste Schwachstelle mit der Kennung CVE-2026-32202 steckt in der Windows Shell. Obwohl der CVSS-Score mit 4,3 nur als „mittel" eingestuft wird, gilt das Sicherheitsleck als hochgefährlich. Der Grund: Angreifer benötigen keinerlei Benutzerinteraktion.

Sicherheitsforscher von Akamai entdeckten, dass Angreifer Net-NTLMv2-Hashes stehlen können – allein dadurch, dass ein Nutzer einen Ordner mit einer präparierten LNK-Datei öffnet. Besonders brisant: Der Fehler entstand durch einen unvollständigen Patch von Microsoft. Das ursprüngliche Update vom Februar 2026 sollte eine Remote-Code-Ausführung (RCE) verhindern, ließ aber eine Lücke bei der Verarbeitung von UNC-Pfaden offen.

Die russische Hackergruppe APT28 (auch bekannt als Fancy Bear) nutzt diese Schwachstelle seit Dezember 2025 aktiv aus. Microsoft bestätigte am 27. April 2026, dass die Gruppe damit gezielt Einrichtungen in der Ukraine und der EU angreift.

Wenn Sicherheitslücken wie die Windows-Shell-Exploits das System lahmlegen oder Updates fehlschlagen, hilft oft nur noch ein externer Rettungsanker. Dieser kostenlose Report erklärt Schritt für Schritt, wie Sie einen Windows-11-USB-Stick erstellen und im Ernstfall Ihren PC retten. Windows 11 Boot-Stick jetzt kostenlos erstellen

Patching mit Nebenwirkungen

Das April-Update KB5083769 soll die Lücke schließen. Doch am 29. April häuften sich Berichte, dass der Patch auf bestimmten HP- und Dell-Systemen Boot-Schleifen auslöst. Microsoft hat diese Nebenwirkungen bislang nicht offiziell bestätigt.

ConnectWise ScreenConnect: Einfallstor für laterale Bewegungen

Die zweite aufgenommene Schwachstelle CVE-2024-1708 betrifft ConnectWise ScreenConnect bis Version 23.9.7. Mit einem CVSS-Score von 8,4 ermöglicht sie Angreifern, Dateien außerhalb geschützter Verzeichnisse zu lesen oder zu schreiben – ein klassischer Pfad-Traversal-Angriff.

Fernwartungstools wie ScreenConnect sind besonders attraktiv für Angreifer, da sie laterale Bewegungen in Netzwerken ermöglichen. Ein kompromittierter Managed Service Provider (MSP) öffnet den Zugang zu allen angeschlossenen Kunden-Endpunkten. Die Schwachstelle wird oft in Kombination mit CVE-2024-1709 in sogenannten „SlashAndGrab"-Angriffen ausgenutzt.

CISA und Cybersicherheitsexperten beobachten den Einsatz dieser Lücke durch chinesische und nordkoreanische Gruppen. Betroffene Organisationen sollten umgehend auf Version 23.9.8 aktualisieren und alle zugehörigen Zugangsdaten zurücksetzen.

PhantomRPC: Streit um Schweregrad

Parallel zu den CISA-Meldungen sorgt eine weitere Schwachstelle für Diskussionen. Die als PhantomRPC bekannte Lücke im Windows Remote Procedure Call (RPC) ermöglicht eine lokale Rechteausweitung auf SYSTEM-Ebene. Sicherheitsforscher idenitifizierten fünf verschiedene Angriffspfade – doch Microsoft weigert sich, einen CVE-Eintrag oder Patch bereitzustellen.

Die Begründung: Die Schwachstelle erfordere eine vorherige Kompromittierung. Branchenexperten kritisieren diese Entscheidung als fahrlässig und empfehlen Unternehmen, das Prinzip der geringsten Privilegien strikt umzusetzen und RPC-Aktivitäten zu überwachen.

VECT 2.0: Ransomware, die nur zerstört

Check Point Research warnte am 28. und 29. April vor VECT 2.0, einem Ransomware-as-a-Service-Angebot aus dem letzten Jahr. Aufgrund eines kritischen Designfehlers in der Verschlüsselung funktioniert die Malware faktisch als Datenvernichter. Dateien über 128 Kilobyte werden durch fehlerhafte Nonces dauerhaft unlesbar – selbst nach Zahlung eines Lösegelds. Betroffen sind Windows-, Linux- und ESXi-Systeme. Experten raten dringend von Verhandlungen mit den Erpressern ab.

KI als zweischneidiges Schwert

Die Cybersicherheitslandschaft wird zunehmend von Künstlicher Intelligenz geprägt. Am 29. April startete CrowdStrike die Initiative Project QuiltWorks gemeinsam mit OpenAI, IBM und Accenture. Ziel ist die Bewältigung der wachsenden Zahl von Schwachstellen, die KI-Modelle entdecken.

Hintergrund: Fast 60 Prozent der Unternehmen in Regionen wie Singapur meldeten bereits Sicherheitsvorfälle im Zusammenhang mit KI-Assistenten – trotz vorhandener Schutzmaßnahmen. Gleichzeitig berichteten Vertreter von OpenAI und Anthropic am 28. April vor dem US-Heimatschutzausschuss über die Cyberrisiken moderner KI-Modelle.

Update-Flut: Windows 11-Updates auf 5 Gigabyte angewachsen

Ein weiteres Problem: Die monatlichen Windows-11-Updates sind auf rund 5 Gigabyte angewachsen. Der Speicherbedarf für Unternehmensverteilungspunkte stieg von 11 Gigabyte im Jahr 2024 auf über 50 Gigabyte im laufenden Jahr. Grund sind kumulative Updates und neue KI-Komponenten.

Angesichts immer größerer Update-Pakete und drohender Systemfehler wird ein Notfall-Medium für PC-Nutzer unverzichtbar. Der Gratis-Ratgeber zeigt Ihnen, wie Sie einen Installations-Stick korrekt vorbereiten und Ihr System bei Fehlern in Minuten wieder starten. Gratis-Anleitung für den Windows 11 Boot-Stick sichern

Frist bis 12. Mai

Bundesbehörden in den USA müssen die beiden Schwachstellen bis zum 12. Mai 2026 schließen. Für Unternehmen empfiehlt CISA, ausgehenden SMB-Verkehr zu blockieren und die NTLM-Authentifizierung einzuschränken. Nutzer von ConnectWise ScreenConnect sollten umgehend patchen und alle Zugangsdaten rotieren.

Die Aufnahme von CVE-2024-1708 in den KEV-Katalog zeigt: Selbst ältere Schwachstellen bleiben gefährlich, wenn sie von staatlichen Akteuren systematisch ausgenutzt werden. Gleichzeitig demonstriert der Windows-Shell-Exploit die Risiken unvollständiger Patches – ein Problem, das die Branche noch lange beschäftigen dürfte.

de | wissenschaft | 69260861 |