Windows-Sicherheitskrise: Staatshacker umgehen SmartScreen ohne Mausklick

Der Fehler mit der Kennung CVE-2026-32202 erlaubt Angreifern, den SmartScreen-Schutz zu umgehen – und das ganz ohne Benutzerinteraktion. Microsoft hat zwar im April 2026 einen Patch veröffentlicht, doch die Schadsoftware ist bereits im Umlauf.

Viele Windows-Nutzer zögern beim Wechsel auf Windows 11 – aus diesem einen Grund. Ein kostenloser Expertenreport zeigt, wie der Umstieg ohne Risiko und Datenverlust gelingt. Windows 11 Starterpaket jetzt kostenlos anfordern

Angriffskette: Wie die Zero-Click-Lücke funktioniert

Die technische Analyse von CVE-2026-32202 offenbart eine Angriffskette, die auf die Art und Weise zielt, wie Windows mit sogenannten LNK-Dateien (Verknüpfungen) umgeht. Sicherheitsforscher sehen darin eine unvollständige Behebung eines früheren Fehlers (CVE-2026-21510). Die ursprüngliche Lücke ermöglichte die Ausführung von Schadcode aus der Ferne. Die Nachbesserungen hinterließen jedoch ein Schlupfloch für die Umgehung der Authentifizierung.

Der aktuelle Exploit ermöglicht einen „Zero-Click“-Angriff. Das bedeutet: Das Opfer muss nicht einmal auf einen Link klicken oder eine Datei öffnen. Sobald das System die manipulierte LNK-Datei verarbeitet, löst die Schwachstelle automatisch einen NTLM-Authentifizierungsversuch aus. Der Angreifer kann dabei die sogenannten NTLM-Hashes abfangen – kryptografische Abbilder der Passwörter. Mit diesen Hashes lassen sich entweder „Pass-the-Hash“-Angriffe durchführen oder die Passwörter per Brute-Force entschlüsseln.

Besonders brisant: SmartScreen soll genau solche Angriffe verhindern. Die Funktion warnt Nutzer, bevor sie unbekannte oder potenziell gefährliche Anwendungen ausführen. Durch die Umgehung dieser Schutzschicht steigt die Wahrscheinlichkeit eines erfolgreichen Einbruchs massiv.

APT28 zielt auf europäische Regierungen

Die Sicherheitslücke ist keine theoretische Gefahr – sie wird bereits aktiv ausgenutzt. Sicherheitsforscher führen die Angriffe auf die Gruppe APT28 zurück, auch bekannt als Fancy Bear. Dieses Kollektiv wird mit russischen Geheimdiensten in Verbindung gebracht. Die Gruppe nutzt die Schwachstelle seit Dezember 2025, um europäische Regierungsinstitutionen anzugreifen.

Der Fokus auf EU-Ziele deutet auf eine strategische Ausrichtung hin. Die Angreifer setzen auf Zero-Day- oder kürzlich gepatchte Schwachstellen, um unter dem Radar zu bleiben. IT-Sicherheitsteams erhalten durch die Umgehung von SmartScreen keine typischen Warnmeldungen mehr.

Die US-Behörde CISA hat die Schwachstelle in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. Hinzu kommen weitere kritische Fehler: Die Linux-Lücke CVE-2026-31431 („Copy Fail“) ermöglicht eine lokale Rechteausweitung auf Root-Ebene. Und eine Schwachstelle in cPanel und WHM (CVE-2026-41940) mit einem CVSS-Score von 9,3 wird seit Februar 2026 aktiv ausgenutzt – Schätzungen zufolge sind bereits 44.000 IP-Adressen kompromittiert.

Defender-Chaos: Fehlalarm legt Zertifikatsvertrauen lahm

Parallel zur SmartScreen-Lücke sorgte ein schwerwiegender Fehler bei Microsoft Defender für Aufsehen. Ab dem 30. April 2026 begann das Antivirenprogramm, legitime DigiCert-Root-Zertifikate fälschlicherweise als Trojaner zu identifizieren. Die Folge: Defender entfernte die Zertifikate aus der Windows-AuthRoot-Registrierungsdatenbank.

Die Löschung führte zu sofortigen Ausfällen bei SSL/TLS-Validierungen und Code-Signierungsprüfungen. Zahlreiche Anwendungen und sichere Webseiten funktionierten nicht mehr. Der Vorfall steht im Zusammenhang mit einem separaten Sicherheitsvorfall bei DigiCert im April 2026, bei dem Unbefugte Initialisierungscodes für Code-Signierungszertifikate erlangten. DigiCert widerrief daraufhin 60 Zertifikate – 27 davon wurden in einer Malware-Kampagne mit dem Schädling „Zhong-Stealer“ eingesetzt.

Microsoft veröffentlichte einen Fix mit Defender-Version 1.449.430.0 am 3. Mai 2026. Der Vorfall wirft jedoch Fragen zur Zuverlässigkeit automatisierter Sicherheitsmaßnahmen auf. Tests von Branchenmagazinen zeigten zudem, dass Defender im Phishing-Schutz mit einer Erkennungsrate von 75 Prozent hinter Konkurrenzprodukten zurückbleibt (95 Prozent).

Genervt von Windows-Fehlermeldungen und Zwangs-Updates? Das kostenlose Linux-Startpaket zeigt Schritt für Schritt, wie Sie Ubuntu parallel zu Windows installieren – ohne Risiko und ohne Datenverlust. Ubuntu-Vollversion im Gratis-Startpaket sichern

Bedrohungslage: Wenn Sicherheitsinfrastruktur zur Waffe wird

Die gleichzeitige Krise zeigt ein grundlegendes Problem: Vertrauensmanagement wird immer komplexer. Der Exploit von APT28 beweist, dass selbst Kernkomponenten wie SmartScreen angreifbar sind, wenn die zugrunde liegende Dateiverarbeitungslogik fehlerhaft ist. Der DigiCert-Vorfall wiederum zeigt, dass die Infrastruktur, die Sicherheit gewährleisten soll – digitale Zertifikate und Antiviren-Signaturen – selbst zur Instabilität führen kann.

Für Unternehmen liegt das Hauptrisiko in der Offenlegung von Anmeldedaten. Mit gestohlenen NTLM-Hashes lassen sich in manchen Konfigurationen Multi-Faktor-Authentifizierungen umgehen oder Berechtigungen innerhalb einer Windows-Domäne ausweiten. Die Beteiligung staatlicher Gruppen deutet auf einen hohen Geheimdienstwert der angegriffenen Daten hin.

Die „Snow“-Malware-Kampagne zeigt zudem, dass technische Schwachstellen oft mit Social Engineering kombiniert werden. Gruppen wie UNC6692 nutzen Microsoft Teams, um sich als IT-Support auszugeben – nachdem sie ihre Opfer mit E-Mail-Bombardements überflutet haben.

Ausblick: Handlungsdruck für Unternehmen

Bis zu den CISA-Fristen Anfang und Mitte Mai 2026 müssen Unternehmen ihre Patch-Management-Zyklen überprüfen. Die Frist für den cPanel-Fehler lief am 3. Mai ab, die Linux-Kernel-Lücke muss bis zum 15. Mai geschlossen sein. Zero-Click-Exploits wie CVE-2026-32202 machen deutlich: Traditionelle Schulungen reichen nicht mehr aus, um die erste Phase eines Einbruchs zu verhindern.

Microsoft hat Anfang Mai dynamische Updates für Windows 11 veröffentlicht – darunter KB5083991 und KB5084812, die die Stabilität der Windows-Wiederherstellungsumgebung verbessern und Sicherheitswarnungen für Remotedesktop angehen.

Für IT-Administratoren steht fest: Defender muss mindestens auf Version 1.449.430.0 aktualisiert sein, um die Zertifikatsprobleme zu beheben. Alle Systeme benötigen die April-Sicherheitsupdates, um die SmartScreen-Lücke zu schließen. Experten empfehlen zudem, ungewöhnlichen NTLM-Datenverkehr zu überwachen und zusätzliche Phishing-Schutzschichten zu implementieren.

de | wissenschaft | 69274810 |