CISA ordnet Patch für aktiv ausgenutzte Windows-Lücke an

Zusammenfassung

Die US-amerikanische Cybersicherheitsbehörde CISA hat Bundesbehörden angewiesen, ihre Windows-Systeme gegen eine Schwachstelle abzusichern, die bereits in Zero-Day-Angriffen ausgenutzt wird. Die als CVE-2026-32202 geführte Lücke wurde vom Sicherheitsunternehmen Akamai gemeldet. Akamai beschreibt sie als Zero-Click-Schwachstelle, über die NTLM-Hashes abfließen können. Sie blieb nach Darstellung der Forscher zurück, weil Microsoft im Februar eine Schwachstelle zur Remotecodeausführung (CVE-2026-21510) nur unvollständig behoben hatte. CISA nahm CVE-2026-32202 in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) auf und verpflichtete die zivilen Bundesbehörden (Federal Civilian Executive Branch), ihre Windows-Endgeräte und -Server innerhalb von zwei Wochen – bis zum 12. Mai – zu patchen. Grundlage ist die Binding Operational Directive (BOD) 22-01. Microsoft zufolge können entfernte Angreifer die Lücke in Angriffen geringer Komplexität ausnutzen, indem sie dem Opfer eine bösartige Datei senden, die dieses ausführen muss; gelingt das, lassen sich auf ungepatchten Systemen vertrauliche Informationen einsehen. Obwohl die Direktive nur für US-Bundesbehörden gilt, fordert CISA alle Sicherheitsteams auf, den Patch vorrangig auszurollen.

Den Ursprung der Schwachstelle verortet Akamai in einem unvollständigen Patch: Microsoft hatte im Februar die Schwachstelle zur Remotecodeausführung CVE-2026-21510 nur teilweise geschlossen und dabei die nun als CVE-2026-32202 geführte Zero-Click-Lücke zurückgelassen, über die NTLM-Hashes abfließen können.

Wie das ukrainische CERT-UA mitteilte, nutzte die russische Cyberspionagegruppe APT28 – auch bekannt als UAC-0001 und Fancy Bear – die ursprüngliche Lücke CVE-2026-21510 im Dezember 2025 bei Angriffen gegen die Ukraine und EU-Staaten aus. Diese Angriffe waren Teil einer Exploit-Kette, die zusätzlich eine Schwachstelle in LNK-Dateien (CVE-2026-21513) ins Visier nahm.

In einem Bericht erläuterte Akamai, dass sich CVE-2026-32202 für Pass-the-Hash-Angriffe eignet, um NTLM-Hashes – also Passwort-Hashwerte – zu stehlen. Mit diesen können sich Angreifer anschließend als der kompromittierte Nutzer authentifizieren, sich seitlich im Netzwerk ausbreiten oder vertrauliche Daten entwenden. Laut Microsoft genügt es dafür, dem Opfer eine bösartige Datei zu senden, die dieses ausführt.

Microsoft stufte die Schwachstelle als in Angriffen ausgenutzt ein, nachdem BleepingComputer in der vergangenen Woche nachgefragt hatte, warum die im Rahmen des April-2026-Patchday veröffentlichte Sicherheitsmeldung die Bewertung „Ausnutzung festgestellt“ trug, die Lücke zugleich aber als nicht ausgenutzt markiert war. Auf eine zweite Anfrage – unter anderem zu der Frage, ob auch APT28 diese Zero-Click-Schwachstelle ausnutzte – hat ein Microsoft-Sprecher bislang nicht reagiert.

CISA nahm CVE-2026-32202 in ihren KEV-Katalog auf und setzte den zivilen Bundesbehörden eine Frist von zwei Wochen bis zum 12. Mai. „Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Akteure und stellt ein erhebliches Risiko für die Bundesverwaltung dar“, warnte die Behörde. Sie empfahl, die Gegenmaßnahmen nach Herstellervorgaben umzusetzen, für Cloud-Dienste die einschlägigen Vorgaben der BOD 22-01 zu befolgen oder das Produkt nicht mehr zu verwenden, falls keine Gegenmaßnahmen verfügbar sind.

Angreifer nutzen zudem aktiv drei kürzlich offengelegte Windows-Schwachstellen aus, die als BlueHammer, RedSun und UnDefend bezeichnet werden. Die Angriffe zielen darauf ab, SYSTEM- oder erweiterte Administratorrechte zu erlangen; für RedSun und UnDefend stehen Patches noch aus.

CISA ordnet Patch für aktiv ausgenutzte Windows-Lücke an

Ähnliche Artikel

Neueste Artikel