Windows-Sicherheit: Microsoft ersetzt NTLM durch Kerberos-Standard

Der Windows-Hersteller testet eine neue Authentifizierungs-Architektur, die Sicherheitslücken schließen soll.

Microsoft hat damit begonnen, eine Kerberos-basierte Ablösung für den veralteten NTLM-Authentifizierungsmechanismus zu testen. Die Umstellung, die im Juni 2026 in der Windows Insider Preview startet, soll gängige Angriffsmethoden wie Pass-the-Hash und Relay-Attacken deutlich erschweren.

Kerberos als neuer Standard

Anzeige: Wer die NTLM-Ablösung durch Kerberos in seiner Windows-Umgebung vorbereiten will, findet in diesem Leitfaden eine Schritt-für-Schritt-Checkliste – von der Kompatibilitätsprüfung bis zur Defender-Integration. Jetzt kostenlosen Migrations-Leitfaden anfordern

Im Rahmen der Neuerung wird IAKerb für Remote-Proxying standardmäßig aktiviert. LocalKDC für lokale Konten bleibt in der aktuellen Testphase dagegen deaktiviert. Microsoft ruft Systemadministratoren dazu auf, die Canary-Builds zu nutzen, um die Kompatibilität älterer Systeme zu prüfen und mögliche Probleme frühzeitig zu identifizieren.

Der Schritt ist Teil einer langfristigen Strategie, sich von NTLM zu verabschieden. Das Protokoll gilt seit Jahren als Einfallstor für Angreifer, die Anmeldedaten abfangen oder wiederverwenden wollen.

Sicherheitsupdate für Windows-Installationsimages

Parallel dazu hat Microsoft aktualisierte Defender-Pakete für Windows-Installationsimages veröffentlicht – darunter WIM-, VHD- und ISO-Dateien. Die Updates mit Plattformversion 4.18.26040.7 und Engine-Version 1.1.26040.8 schließen eine Sicherheitslücke, die zwischen der Installation eines Systems und der ersten Verbindung zu den Update-Servern besteht.

Der Sicherheitsrefresh betrifft Windows 11, Windows 10 (einschließlich ESU- und LTSC-Versionen) sowie Windows Server 2016 bis 2022. Durch die Integration aktueller Sicherheitsupdates in die Installationsmedien sollen Angreifer daran gehindert werden, ungepatchte Systeme direkt nach der Einrichtung zu kompromittieren.

Aktive Bedrohungen gegen Windows-Umgebungen

Die Dringlichkeit dieser Maßnahmen wird durch mehrere aktive Kampagnen gegen Windows-Infrastrukturen unterstrichen. Analysten beobachten die Gruppe APT28 (auch bekannt als UAC-0001), die gezielt Regierungsbehörden in der Europäischen Union und der Ukraine angreift. Die Gruppe nutzt eine Schwachstelle in Microsoft Office (CVE-2026-21509), um das COVENANT-Framework über manipulierte Dokumente und WebDAV zu verbreiten.

In einem weiteren Fall wurde der China-verbundene Akteur OP-512 identifiziert, der eigene Web-Shells einsetzt, um in IIS-Server einzudringen. Die Angriffe zielen speziell auf Windows Server 2016 mit älteren .NET-Framework-Versionen ab. Die Gruppe verwendet RSA/RC4-Verschlüsselung und DNS-Exfiltration, um auf kompromittierten Systemen präsent zu bleiben.

Anzeige: Aktive Angriffe durch APT28 und OP-512 machen die Umstellung auf Kerberos dringend. Dieser Report zeigt, wie Sie Ihre Systeme mit den neuesten Defender-Updates und gezielten Maßnahmen gegen COVENANT und Web-Shells schützen. Sicherheits-Report jetzt sichern

CISA setzt Ultimatum für Sicherheitsupdates

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine Schwachstelle in SolarWinds Serv-U in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. Der Fehler CVE-2026-28318 wurde am 5. Juni 2026 hinzugefügt, nachdem Berichte über aktive Angriffe mittels nicht authentifizierter Denial-of-Service-Attacken bekannt wurden.

Bundesbehörden und Organisationen, die die Software nutzen, wurden angewiesen, die notwendigen Hotfixes bis zum 19. Juni 2026 einzuspielen. Die Schwachstelle erlaubt es Angreifern, den Dienst durch eine speziell präparierte POST-Anfrage zum Absturz zu bringen. SolarWinds hat Serv-U 15.5.4 Hotfix 1 veröffentlicht, um das Problem zu beheben. CISA warnte zudem vor einer Schwachstelle im Wing FTP Server, die Informationsweitergabe ermöglicht und derzeit in Kombination mit anderen Exploits zur Installation von Überwachungstools genutzt wird.

de | wissenschaft | 69497365 |