SchwachstellenHackerangriffeCloud-Sicherheit

CISA warnt vor sieben kritischen Schwachstellen in Windows und Adobe-Produkten

CISA warnt vor sieben kritischen Schwachstellen in Windows und Adobe-Produkten
Zusammenfassung

Die US-amerikanische Cybersicherheitsbehörde CISA hat ihren Katalog der aktiv ausgebeuteten Sicherheitslücken um sieben kritische Schwachstellen erweitert, darunter zwei Windows-Fehler und mehrere Adobe-Acrobat-Vulnerabilities, die es Angreifern ermöglichen, Privilegien zu eskalieren und beliebigen Code auszuführen. Die Schwachstellen reichen teilweise mehrere Jahre zurück – wie die Windows-Lücke CVE-2023-36424 aus dem November 2023 oder die Adobe-Lücke CVE-2020-9715 aus dem August 2020 – werden aber offenbar erst jetzt aktiv von Cyberkriminellen ausgenutzt. Besonders alarmierend ist die Aufnahme von zwei neuen Zero-Day-Vulnerabilities in Adobe Acrobat und Fortinet FortiClient EMS (CVE-2026-34621 und CVE-2026-21643), bei denen Angreifer bereits Fernzugriff auf gefährdete Systeme erlangen konnten. Für deutsche Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, da Windows und Adobe-Produkte weit verbreitet sind. CISA fordert daher Sofortmaßnahmen: Bundesbehörden müssen die meisten Patches innerhalb von zwei Wochen einspielen. Deutsche Organisationen sollten analog vorgehen, um nicht Opfer dieser bereits im Einsatz befindlichen Exploits zu werden.

Die beiden neu katalogisierten Windows-Schwachstellen zeigen das hartnäckigste Problem der Cybersicherheit: Selbst alte Sicherheitslücken werden gefährlich, wenn Patches nicht zeitnah eingespielt werden. Die erste Lücke, CVE-2023-36424, ist ein Fehler im Common Log File Driver, der zur Privilege Escalation führt. Microsoft veröffentlichte Patches bereits im November 2023, öffentliche Proof-of-Concept-Exploits folgten kurz darauf. Dennoch gab es bis zu CISAs aktuellem Warnhinweis keine bekannten Angriffe in der Praxis — eine paradoxe Situation, die viele Unternehmen in falscher Sicherheit wiegen könnte.

Die zweite Windows-Lücke, CVE-2025-60710, betrifft den Host Process für Windows Tasks und ermöglicht ebenfalls Privilege Escalation durch fehlerhaftes Link-Handling. Patches stehen seit November 2025 zur Verfügung, Exploit-Code wurde schnell danach veröffentlicht.

Besonders kritisch ist CVE-2020-9715 in Adobe Acrobat und Reader. Diese Use-After-Free-Schwachstelle ermöglicht beliebigen Code-Ausführung und war bereits 2020 gepatcht — Proof-of-Concept-Code ist seit Jahren öffentlich verfügbar. Dass CISA diesen fünf Jahre alten Bug erst jetzt als aktiv exploitiert auflistet, unterstreicht, wie systematisch Angreifer auch vermeintlich alte Targets zu knacken versuchen.

Zusätzlich warnt CISA vor CVE-2023-21529, einer Exchange-Lücke, die kürzlich von der Ransomware-Gruppe Medusa ausgenutzt wurde. Die neuen Zero-Day-Lücken CVE-2026-34621 und CVE-2026-21643 in Adobe-Produkten sowie CVE-2026-21643 in Fortinet FortiClient EMS ermöglichen ebenfalls Remote Code Execution.

Auch CVE-2012-1854 in Microsoft Visual Basic for Applications steht im Fokus von Angreifern — eine Lücke, die Microsoft vor 13 Jahren als exploitiert in the wild warnte. Das zeigt, dass Legacy-Systeme immer noch massiven Risiken ausgesetzt sind.

Für deutsche Organisationen ist die Botschaft klar: Patch-Management ist nicht optional. Die CISA-Forderung nach Updates innerhalb von zwei Wochen sollte als Benchmark für alle Unternehmen und Behörden gelten — unabhängig davon, ob sie US-Bundesagenturen sind. Viele der Schwachstellen sind bereits seit Jahren präsent und bieten Angreifern eine stabile Angriffsfläche, solange Updates nicht eingespielt sind.

Ähnliche Artikel