CISA nimmt aktiv ausgenutzte Lücken in ConnectWise ScreenConnect und Windows in KEV-Katalog auf

Zusammenfassung

Die US-amerikanische Cybersicherheitsbehörde CISA hat am Dienstag zwei Sicherheitslücken in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. Betroffen sind ConnectWise ScreenConnect und Microsoft Windows. Grundlage der Aufnahme sind nach Angaben der Behörde Belege für eine aktive Ausnutzung beider Lücken. Die Aufnahme der Windows-Schwachstelle CVE-2026-32202 erfolgte einen Tag, nachdem Microsoft seine Sicherheitsmeldung zu der Lücke aktualisiert und damit eingeräumt hatte, dass sie aktiv angegriffen wird. Welche Art von Angriffen dabei zum Einsatz kommt, hat Microsoft nicht offengelegt. Laut Akamai geht die Schwachstelle auf einen unvollständigen Patch für CVE-2026-21510 zurück. Die zweite nun aufgenommene Lücke, CVE-2024-1708 in ConnectWise ScreenConnect, wird seit Jahren von mehreren Bedrohungsakteuren mit einer kritischen Schwachstelle zur Umgehung der Authentifizierung verkettet. Für die betroffenen US-Bundesbehörden setzt die CISA eine Frist zur Behebung. Damit reagiert die Behörde auf eine Bedrohungslage, die mehrere staatlich zugeordnete und kriminelle Akteure betrifft.

Die CISA hat ihren KEV-Katalog um zwei Schwachstellen erweitert, für die nach Angaben der Behörde Belege einer aktiven Ausnutzung vorliegen. Betroffen sind ConnectWise ScreenConnect und Microsoft Windows.

Die Aufnahme von CVE-2026-32202 folgte einen Tag, nachdem Microsoft seine Sicherheitsmeldung aktualisiert und bestätigt hatte, dass die Lücke aktiv angegriffen wird. Zur Natur dieser Angriffe machte Microsoft keine Angaben. Akamai zufolge entstand die Schwachstelle durch einen unvollständigen Patch für CVE-2026-21510. Diese frühere Lücke wurde gemeinsam mit CVE-2026-21513 als Zero-Day ausgenutzt – nach Darstellung von Akamai durch die russische Hackergruppe APT28 in Angriffen auf die Ukraine und EU-Staaten seit Dezember 2025.

Die zweite Schwachstelle, CVE-2024-1708, wird seit Jahren von mehreren Bedrohungsakteuren mit CVE-2024-1709 verkettet, einer kritischen Lücke zur Umgehung der Authentifizierung mit einem CVSS-Wert von 10,0. In diesem Monat brachte Microsoft die Ausnutzung beider Lücken mit einem in China ansässigen Bedrohungsakteur in Verbindung, den das Unternehmen unter der Bezeichnung Storm-1175 führt. Bei diesen Angriffen kam die Ransomware Medusa zum Einsatz.

CVE-2024-1709 selbst hatte die CISA bereits am 22. Februar 2024 in ihren KEV-Katalog aufgenommen. Die zivilen US-Bundesbehörden (Federal Civilian Executive Branch, FCEB) sind verpflichtet, die erforderlichen Korrekturen bis zum 12. Mai 2026 umzusetzen, um ihre Netzwerke abzusichern.

CISA nimmt aktiv ausgenutzte Lücken in ConnectWise ScreenConnect und Windows in KEV-Katalog auf

Ähnliche Artikel

Neueste Artikel