Microsofts Februarpatch sollte zwei kritische Windows-Schwachstellen beheben: CVE-2026-21510 (SmartScreen-Bypass) und CVE-2026-21513 (MSHTML-Framework-Lücke). Doch die Reparatur war unvollständig – mit fatalen Folgen. Sicherheitsforscher von Akamai entdeckten, dass das Originalrisiko zwar teilweise mitigiert wurde, die eigentliche Schwachstelle in der Authentifizierungskette jedoch bestehen blieb.
Die neue Verwundbarkeit CVE-2026-32202 erlaubt es Angreifern, Windows-Benutzer automatisch gegenüber fremden Servern zu authentifizieren – ohne dass diese auch nur einen Klick machen müssen. Der Mechanismus ist tückisch: Wenn Windows Explorer eine manipulierte Verknüpfungsdatei (.lnk) in einem Ordner anzeigt, versucht es automatisch, ein Symbol von einem entfernten Server zu laden. Dies geschieht über SMB-Verbindungen (Server Message Block), bei denen Windows-Systeme standardmäßig NTLM-Authentifizierung einleiten. Der Benutzer sendet damit ungewollt seinen Net-NTLMv2-Hash an die Angreifer – dieser kann später für NTLM-Relay-Attacken oder Offline-Cracken missbraucht werden.
APT28 nutzte diese Lücke bereits im Dezember 2025, indem die Gruppe präparierte .lnk-Dateien versendete, die beide CVE-2026-21513 und CVE-2026-21510 verketteten. Windows-Sicherheitsfeatures wurden damit umgangen, Remote Code Execution ermöglicht. Das Ziel der Kampagne: Ukraine und EU-Staaten, womöglich auch kritische Infrastruktur in Deutschland.
Microsoft veröffentlichte die Reparatur für CVE-2026-32202 erst im April 2026. Das BSI hat bereits Warnungen herausgegeben und deutsche Behörden sowie Unternehmen aufgefordert, diese Patches prioritär einzuspielen. Für Organisationen, die personenbezogene Daten verarbeiten, ist eine schnelle Patching-Strategie nicht nur eine Sicherheitsmaßnahme – sie ist auch eine DSGVO-Compliance-Anforderung. Das Incident zeigt erneut: Teilmaßnahmen gegen Schwachstellen sind gefährlicher als gar keine.