Microsoft aktualisierte sein Advisory zu CVE-2026-20963 in dieser Woche, stuft die Lücke aber bis jetzt nicht als aktiv ausgenutzt ein. Die Einordnung als angegriffene Schwachstelle stammt von CISA, die das Sicherheitsproblem in ihren Katalog der „Known Exploited Vulnerabilities" aufgenommen hat.

Die Frist bis zum 21. März richtet sich an die zivilen Bundesbehörden der USA. Dazu zählen nach Angaben von CISA nicht-militärische Stellen der Exekutive wie das Heimatschutzministerium, das Energieministerium, das Justizministerium und das Außenministerium. Weitere Einzelheiten zu den laufenden Angriffen nannte die Behörde nicht. Hinweise darauf, dass die Lücke in Ransomware-Angriffen genutzt wird, lägen bislang nicht vor.

Obwohl die zugrunde liegende Verfügung BOD 22-01 nur für Bundesbehörden bindend ist, rief CISA ausdrücklich alle Netzwerkverantwortlichen dazu auf, ihre Systeme so schnell wie möglich abzusichern. Diese Art von Schwachstelle sei ein häufig genutzter Angriffsweg für böswillige Akteure und stelle ein erhebliches Risiko dar, warnte die Behörde. Sie empfahl, die Gegenmaßnahmen nach Herstellervorgaben umzusetzen, die geltenden BOD-22-01-Vorgaben für Cloud-Dienste zu befolgen oder das Produkt nicht weiter zu verwenden, falls keine Gegenmaßnahmen verfügbar seien.

Parallel ordnete CISA an, dass Bundesbehörden eine weitere aktiv ausgenutzte Schwachstelle schließen müssen: eine gespeicherte Cross-Site-Scripting-Lücke (XSS) in der Zimbra Collaboration Suite (ZCS), die ebenfalls bereits angegriffen wird.