SchwachstellenHackerangriffeCyberkriminalität

Microsoft bestätigt aktive Ausnutzung von Windows-Shell-Schwachstelle CVE-2026-32202

Von CyberDeutsch Redaktion
Microsoft bestätigt aktive Ausnutzung von Windows-Shell-Schwachstelle CVE-2026-32202
Zusammenfassung

Microsoft hat eine Sicherheitslücke in Windows Shell bestätigt, die aktiv von Angreifern ausgenutzt wird. Die Schwachstelle CVE-2026-32202 ist eine sogenannte Spoofing-Anfälligkeit mit mittlerer Schweregrad (CVSS 4,3), die es Angreifern ermöglicht, sensitive Informationen abzurufen. Das Unternehmen hatte die Lücke bereits im April-Patch-Update behoben, korrigierte aber später die Angaben zu ihrer Exploitierbarkeit. Besonders bemerkenswert ist, dass die Schwachstelle aus einem unvollständigen Sicherheitsupdate zu CVE-2026-21510 resultiert und von der russischen Hackergruppe APT28 (auch als Fancy Bear bekannt) zusammen mit einer weiteren Lücke ausgenutzt wird. Die Angreifer verwenden manipulierte Windows-Shortcut-Dateien, um Schutzmaßnahmen wie Microsoft Defender SmartScreen zu umgehen und Malware auszuführen. Für deutsche Nutzer und Unternehmen ist dies relevant, da die Angriffskette auch Ziele in der EU umfasst hat und durch automatisierte SMB-Verbindungen ohne Benutzerinteraktion Authentifizierungshashes gestohlen werden können – ein erhebliches Risiko für Netzwerksicherheit und Datenschutz, besonders bei Behörden und kritischen Infrastrukturen.

Die Schwachstelle CVE-2026-32202 ist eine sogenannte Spoofing-Anfälligkeit in Windows Shell, die einen Schutzmechanismus-Fehler ausnutzt. Laut Microsoft ermöglicht sie einem Angreifer, sich über das Netzwerk auszugeben und damit Zugriff auf sensitive Informationen zu erlangen. Kritisch ist: Das Angriffsszenario erfordert nur, dass ein Opfer eine böswillige Datei ausführt — es handelt sich dabei faktisch um einen Zero-Click-Exploit.

Sicherheitsforscher Maor Dahan von Akamai, der die Lücke ursprünglich entdeckt und gemeldet hat, enthüllte die wahre Dimension des Problems: CVE-2026-32202 ist keine isolierte Schwachstelle, sondern resultiert aus einem unvollständigen Patch für CVE-2026-21510. Die russische Nation-State-Gruppe APT28 (auch bekannt als Fancy Bear, Forest Blizzard und Pawn Storm) kombiniert diese Lücke mit CVE-2026-21513 zu einer potenten Exploit-Kette.

Die Angriffsmethode ist ausgefeilter, als zunächst gedacht: APT28 nutzt böswillige Windows-Shortcut-Dateien (LNK), um Microsoft Defender SmartScreen zu umgehen und beliebigen Code auszuführen. Der Angreifer lädt dynamische Link Libraries (DLLs) von Remote-Servern über UNC-Pfade, die über das Windows-Shell-Namespace-Parsing-Verfahren geladen werden. Diese werden als Control Panel (CPL) Objekte ohne ordnungsgemäße Netzwerkzone-Validierung ausgeführt.

Besonders problematisch ist die Authentifizierungs-Zwangskomponente: Wenn der UNC-Pfad auf einen fremden Server verweist (etwa ‘\attacker.com\share\payload.cpl’), initiiert Windows automatisch eine SMB-Verbindung. Diese Verbindung löst automatisch einen NTLM-Authentifizierungs-Handshake aus, wodurch der NTLM-Hash des Opfers an den Angreifer übertragen wird. Diesen Hash können Angreifer später für NTLM-Relay-Attacken oder Offline-Brute-Force-Angriffe nutzen.

Microsoft hatte zwar in einem Februar-2026-Patch das ursprüngliche Remote-Code-Execution-Risiko gemindert, indem SmartScreen-Kontrollen für CPL-Datei-Signaturen hinzugefügt wurden — aber die Authentifizierungs-Coercion-Falle (CVE-2026-32202) blieb bestehen. Diese Lücke zwischen Pfad-Auflösung und Vertrauensüberprüfung schuf eine Zero-Click-Angriffsfläche für Credential-Theft über automatisch geparste LNK-Dateien.

Für deutsche Organisationen gilt: Sofortige Patches durchführen, Sicherheits-Awareness-Schulungen zum Handling verdächtiger LNK-Dateien intensivieren und Netzwerk-Segmentierung überprüfen. Das BSI empfiehlt zusätzlich, SMB-Datenverkehr intern zu überwachen.

Ähnliche Artikel