Die beiden neuen Einträge im CISA KEV-Katalog unterstreichen die zunehmende Bedrohungslage im Cyberraum. CVE-2026-32202 wurde bereits einen Tag nach Microsofts aktualiertem Advisory zum KEV-Katalog hinzugefügt. Das Unternehmen Akamai hat ermittelt, dass die Sicherheitslücke aus einem unvollständigen Patch für CVE-2026-21510 resultiert, welche zusammen mit CVE-2026-21513 von der russischen APT-Gruppe APT28 ausgenutzt wird. Diese Gruppe führt seit Dezember 2025 Kampagnen gegen Ziele in der Ukraine und der Europäischen Union durch.
Zweifel an der Sicherheit von Remote-Access-Tools wie ConnectWise ScreenConnect sind berechtigt. Solche Lösungen sind beliebte Angriffsziele, da ein erfolgreicher Kompromiss unmittelbaren Zugriff auf Kundensysteme ermöglicht. Deutsche IT-Dienstleister und MSPs (Managed Service Provider) müssen besonders wachsam sein.
Die zweite aufgenommene Schwachstelle CVE-2024-1708 wird häufig im Verbund mit CVE-2024-1709 ausgespielt. Diese kritische Authentication-Bypass-Lücke (CVSS 10.0) war bereits am 22. Februar 2024 in den KEV-Katalog aufgenommen worden. Microsoft verknüpft die aktuelle Ausnutzung mit der chinesischen Bedrohungsgruppe Storm-1175, die damit Medusa-Ransomware verbreitet. Der praktische Einsatz dieser Kombination durch mehrere Angreifer über Jahre hinweg zeigt, wie wertvoll dieser Exploit-Chain für Cyberkriminelle ist.
Für US-amerikanische Bundesbehörden (FCEB) ist die Patching-Frist bis 12. Mai 2026 gesetzt. Deutsche Behörden und Organisationen sollten sich nicht auf diese längeren Fristen verlassen. Das BSI empfiehlt typischerweise sofortige Maßnahmen bei aktiv ausgenutzte Schwachstellen. Unternehmen sind gut beraten, ihre Systeme umgehend zu überprüfen und verfügbare Patches einzuspielen. Die Kombination aus staatlichen Akteuren (APT28) und Cyberkriminellen (Storm-1175), die unterschiedliche Lücken-Kombinationen nutzen, verdeutlicht die vielschichtige Bedrohung.