Microsoft 365 Copilot: Kritische Lücke CVE-2026-42824 mit CVSS 10,0
16.06.2026 - 17:51:52 | boerse-global.de
Die als DragonForce bekannte Gruppe infiltrierte im Dezember 2025 einen großen US-Dienstleister und setzte dabei eine neuartige Tarnstrategie ein.
Hinterhältige Tarnung durch Teams-Relais
Die Angreifer entwickelten eine eigene Schadsoftware namens "Backdoor.Turn", geschrieben in der Programmiersprache Go. Wie Sicherheitsforscher von Symantec berichten, leitet der Schädling seinen Datenverkehr über die legitime TURN-Infrastruktur (Traversal Using Relays around NAT) von Microsoft Teams um. Das Besondere: Die bösartigen Datenpakete tarnen sich als normale Kommunikation und umgehen so herkömmliche Sicherheitslösungen.
Anzeige: Die kritische Copilot-Lücke mit CVSS 10,0 und die neue Tarnung über Teams-Infrastruktur betreffen jedes Unternehmen mit Microsoft 365. Dieser Report liefert die wichtigsten Sofortmaßnahmen – von der Erkennung verdächtiger Teams-Relais bis zur Abwehr von BYOVD-Angriffen. Jetzt kostenlosen Sicherheits-Report anfordern
Den ersten Zugriff verschafften sich die Hacker über Sicherheitslücken in SQL- und MSSQL-Servern. Einmal im Netzwerk, blieben sie unentdeckt, indem sie Sicherheitsrichtlinien änderten und neue Benutzerkonten anlegten.
Alte Treiber, neue Gefahren
Zur Umgehung der Sicherheitsmaßnahmen griff die Gruppe zur "Bring Your Own Vulnerable Driver"-Methode (BYOVD). Dabei installieren die Angreifer legitime, aber unsichere Treiber, um Kernel-Zugriff zu erhalten und Sicherheitssoftware zu deaktivieren. Im konkreten Fall nutzten sie einen Huawei-Treiber (HWAuidoOs2Ec.sys), der bereits Anfang 2026 Sicherheitswarnungen ausgelöst hatte.
Weitere Treiber von Topaz Antifraud, dem Videospiel Tower of Fantasy und K7 Security kamen ebenfalls zum Einsatz. Besonders raffiniert: Die Gruppe verwendete einen "ABYSSWORKER"-Treiber, den sie als legitimes Palo-Alto-Netzwerke-Komponente tarnte.
WinRAR und Cloud-Dienste bleiben beliebt
Neben den neuen Methoden setzen Ransomware-Banden weiterhin auf altbewährte Schwachstellen. Ende Mai 2026 entdeckten Ermittler von Huntress SOC einen Akira-Ransomware-Ableger, der über ein kompromittiertes Endgerät eine virtuelle Maschine zur Umgehung der Sicherheitssoftware erstellte. Die Angreifer deaktivierten Microsoft Defender, nutzten WinRAR zur Datensammlung und luden die Beute über Easyupload.io hoch – einem Dienst, der mit LimeWire in Verbindung steht.
Parallel dazu attackieren russlandnahe Akteure Organisationen in der Ukraine über die Sicherheitslücke CVE-2025-8088 in WinRAR. Obwohl ein Patch seit Juli 2025 verfügbar ist, gelingt es Angreifern weiterhin, mit präparierten RAR-Archiven Schadsoftware zu verbreiten. Ziel sind Browser-Cookies, Passwörter und vertrauliche Dokumente aus Firefox- und Chromium-Browsern.
Kritische Lücke in Microsoft 365 Copilot
Die Angriffswelle auf Unternehmenssoftware reicht bis zu Microsofts KI-Assistenten. Im Juni 2026 schloss Microsoft eine kritische Sicherheitslücke in Microsoft 365 Copilot Enterprise. Die als CVE-2026-42824 bekannte Schwachstelle mit dem Namen "SearchLeak" erhielt die höchste CVSS-Bewertung von 10,0. Analysten von Varonis Threat Labs fanden heraus, dass Angreifer mit einem einzigen Klick E-Mails und Zwei-Faktor-Authentifizierungscodes stehlen konnten – durch eine Kombination aus Prompt-Injection und einer Race-Condition in der HTML-Darstellung.
Die Folgen: Von Australien bis Pakistan
Die Auswirkungen solcher Angriffe sind branchenübergreifend zu spüren:
Anzeige: Alte Treiber, neue Gefahren: Die BYOVD-Methode nutzt unsichere Treiber wie HWAuidoOs2Ec.sys, um Kernel-Zugriff zu erlangen. Erfahren Sie in diesem Leitfaden, wie Sie solche Angriffe erkennen und Ihr System mit 5 konkreten Maßnahmen schützen. BYOVD-Schutzleitfaden jetzt sichern
Zuckerproduktion lahmgelegt: Mackay Sugar, der zweitgrößte Zuckerproduzent Australiens, meldete am 10. Juni 2026 einen Cyberangriff. Die Gentlemen-Ransomware-Gruppe bekannte sich zu der Tat. Zwei der drei Mühlen des Unternehmens fielen während der kritischen Erntesaison aus. Erst am 12. Juni konnte die Farleigh-Mühle den manuellen Betrieb wieder aufnehmen.
Physischer Datendiebstahl: Zwischen Januar und Mai 2026 zielte die Erpressungsgruppe UNC3753 (auch bekannt als Luna Moth oder Silent Ransom Group) auf US-Kanzleien und Finanzinstitute ab. Laut einer Warnung von Google und einer FBI-Meldung vom 26. Mai 2026 setzt die Gruppe zunehmend auf physischen Datendiebstahl: Sie schickt Personen direkt in die Zielgebäude, um Daten per USB-Stick zu kopieren.
Spionage in Asien: Die Earth-Lusca-Gruppe setzte Mitte 2026 Windows-Varianten der SprySOCKS-Malware ein, um Regierungsorganisationen in Taiwan, Thailand und Pakistan anzugreifen. Die Schadsoftware verfügt über Kernel-Level-Tarnfunktionen und möglicherweise UEFI-Bootkit-Komponenten.
