ClickOnce-Lücke: Microsoft-Technologie wird zur Malware-Schleuse
20.06.2026 - 23:55:30 | boerse-global.de
Die Technologie, eigentlich für einfache Software-Installationen gedacht, wird zunehmend als raffinierter Verteilungsmechanismus für Malware missbraucht. Das Besondere: Die Angriffe umgehen herkömmliche Sicherheitsvorkehrungen nahezu mühelos.
Warum ClickOnce so gefährlich ist
Das Problem liegt in der Architektur des Frameworks. ClickOnce benötigt keine Administratorrechte für die Ausführung von Programmen. Stattdessen installiert es Software direkt im Benutzerverzeichnis %APPDATA% – und umgeht dabei die Benutzerkontensteuerung (UAC) von Windows. Für Angreifer senkt das die Hürde für erfolgreiche Infektionen drastisch.
Anzeige: ClickOnce umgeht UAC und Sicherheitsfilter – und Microsoft wird keinen Patch liefern. Wer sein Unternehmen vor dieser neuen Malware-Schleuse schützen will, braucht jetzt eine klare Detektionsstrategie. Unser Report liefert die wichtigsten Indikatoren und Abwehrmaßnahmen. Jetzt kostenlosen Sicherheits-Report anfordern
Die Sicherheitslücken sind tief im Design verankert. Experten führen sie auf grundlegende Schwachstellen zurück: Fehlende Integritätsprüfungen beim Download (CWE-494) und unzureichende Überprüfung der Datenauthentizität (CWE-345). Da es sich nicht um einen klassischen Softwarefehler handelt, gibt es keine CVE-Nummer. Die Bedrohungslage ist dennoch ernst: Der CVSS-Score liegt bei 7,5 – ein hohes Risiko für Unternehmen.
Automatische Updates als Einfallstor
Besonders perfide: Angreifer missbrauchen die Auto-Update-Funktion von ClickOnce. Sie nutzen den vertrauenswürdigen Systemprozess dfsvc.exe, um Schadcode auszuführen und regelmäßig zu aktualisieren. Im MITRE-ATT&CK-Framework ist diese Technik als T1547 klassifiziert – ein klarer Hinweis auf die systematische Ausnutzung.
Der Angriffsweg beginnt meist mit Phishing-Kampagnen, die .application-Dateien verschicken. Diese schaffen es häufig durch die Sicherheitsfilter, weil viele Lösungen ClickOnce-Aktivitäten nicht überwachen. Die Architektur erlaubt es Angreifern zudem, Funktionen aus nicht vertrauenswürdigen Kontrollbereichen (CWE-829) einzubinden – ein gefundenes Fressen für dauerhafte Kompromittierungen.
Kein Patch in Sicht – Detektion ist gefragt
Anzeige: Angreifer nutzen den vertrauenswürdigen Systemprozess dfsvc.exe, um Schadcode regelmäßig zu aktualisieren – eine Technik, die im MITRE-ATT&CK-Framework als T1547 geführt wird. Bevor Ihre Sicherheitslösung diese Anomalie übersieht, sollten Sie die fünf wichtigsten Indikatoren kennen. 5 Indikatoren für dfsvc.exe-Anomalien jetzt sichern
Die Enthüllung kommt zu einem heiklen Zeitpunkt. Erst am 19. Juni 2026 veröffentlichte Microsoft ein Rekord-Update mit 206 behobenen Sicherheitslücken, darunter kritische Remote-Code-Ausführungen. Doch für das ClickOnce-Problem gibt es keinen Patch – es ist kein Bug, sondern ein Feature, das missbraucht wird.
Sicherheitsexperten raten daher zu einem Strategiewechsel: Statt auf Updates zu warten, müssen Unternehmen auf Detektion setzen. Konkret bedeutet das: Sicherheitstools auf ungewöhnliche dfsvc.exe-Aktivitäten zu trimmen und die Ausführung von .application-Dateien genau zu prüfen. Weitere Forschungsarbeiten zu Erkennungsstrategien sind bereits angekündigt.
Der Vorfall reiht sich ein in eine Serie besorgniserregender Entwicklungen. Erst kürzlich machte Microsoft die nordkoreanische Gruppe Sapphire Sleet für eine Lieferketten-Attacke verantwortlich, bei der über 140 npm-Pakete kompromittiert wurden. Die Angreifer werden immer kreativer – und ClickOnce ist ihr neuestes Werkzeug.
