KW 18/2026: Ruhigere Woche mit hartnäckigen Altlasten: ScreenConnect-Lücke und Windows-Shell-Schwachstelle im Fokus

Überblick und Einordnung der Woche

Die zurückliegende Woche präsentiert sich bei den neu hinzukommenden, aktiv ausgenutzten Schwachstellen ruhiger als die Vorwoche. Das bedeutet jedoch keine Entwarnung: Der Schwerpunkt verschiebt sich von der schieren Menge frischer Lücken hin zur konsequenten Ausnutzung bereits bekannter und neu bestätigter Einfallstore. Im Mittelpunkt stehen diesmal aktiv ausgenutzte Schwachstellen in weitverbreiteter Fernwartungs- und Betriebssystem-Infrastruktur, deren Tragweite durch behördliche Anordnungen und Hersteller-Bestätigungen unterstrichen wird.

Bemerkenswert ist die Kombination aus altbekannten und neu eingeordneten Problemen. Während eine Schwachstelle in einer Fernzugriffslösung schon länger im Umlauf ist und nun erneut Aufmerksamkeit erhält, sorgt eine Lücke in der Windows-Shell für besondere Brisanz, weil ihre aktive Ausnutzung offiziell bestätigt wurde und ein erster Patch sich als unvollständig erwiesen hat. Hinzu kommt eine anhaltende Aktivität mehrerer Ransomware-Gruppen, von der auch Einrichtungen im deutschsprachigen Raum betroffen waren. Insgesamt zeigt sich damit ein zweigeteiltes Bild: weniger Bewegung bei der Zahl neuer Vorfälle, aber unverändert hoher Druck durch gezielt ausgenutzte, schwerwiegende Schwachstellen und ein aktives Erpressungsumfeld.

Für Verteidiger lautet die zentrale Botschaft der Woche, dass Priorisierung wichtiger ist als Vollständigkeit. Nicht jede neue Meldung verlangt sofortiges Handeln, doch die wenigen aktiv ausgenutzten Lücken in zentralen Komponenten gehören ohne Verzögerung geschlossen. Gerade bei Fernwartungssoftware und Betriebssystemkomponenten wiegt eine offene Tür schwer, weil sie Angreifern weitreichenden Zugriff verschafft und sich in der Breite ausnutzen lässt.

Schwachstellen und ausgenutzte Sicherheitslücken

Im Zentrum der Woche steht eine Path-Traversal-Schwachstelle in ConnectWise ScreenConnect (CVE-2024-1708), die Angreifern die Ausführung von Schadcode oder den direkten Zugriff auf sensible Pfade ermöglichen kann. Dass eine derartige Lücke in einer Fernwartungslösung erneut in den Fokus rückt und in den Katalog bekannter, aktiv ausgenutzter Schwachstellen aufgenommen wurde, verdeutlicht das anhaltende Risiko durch Werkzeuge, die per Design weitreichenden Zugriff auf entfernte Systeme bieten. Wird eine solche Plattform kompromittiert, steht Angreifern oft ein bequemer Weg in zahlreiche nachgelagerte Umgebungen offen.

Ebenfalls hohe Aufmerksamkeit verdient eine Schwachstelle in der Windows-Shell von Microsoft (CVE-2026-32202). Hierbei handelt es sich um ein Versagen eines Schutzmechanismus, das einem nicht autorisierten Angreifer Spoofing ermöglicht. Microsoft hat die aktive Ausnutzung dieser Lücke bestätigt, und die zuständige Behörde hat das Einspielen des Patches angeordnet. Besonders kritisch ist in diesem Zusammenhang, dass ein zunächst bereitgestellter Patch unvollständig war und dadurch Zero-Click-Angriffe auf Anmeldedaten weiterhin möglich blieben. Dieser Umstand zeigt exemplarisch, dass das bloße Einspielen eines ersten Updates nicht automatisch Sicherheit bedeutet und Nachbesserungen aufmerksam verfolgt werden müssen.

Darüber hinaus rücken zwei weitere schwerwiegende Schwachstellen ins Blickfeld. In WebPros cPanel & WHM sowie WP2 (WordPress Squared) besteht eine Authentifizierungs-Umgehung im Anmeldebereich (CVE-2026-41940). Lücken dieser Art sind besonders heikel, weil sie es Angreifern erlauben, sich ohne gültige Zugangsdaten Zutritt zu verschaffen — gerade bei Hosting- und Verwaltungsoberflächen, die häufig direkt aus dem Internet erreichbar sind und Zugriff auf zahlreiche gehostete Umgebungen bündeln. Hinzu kommt eine Schwachstelle im Linux-Kernel (CVE-2026-31431), die durch einen fehlerhaften Ressourcentransfer zwischen Sicherheitsbereichen eine Rechteausweitung ermöglichen kann. Solche Privilege-Escalation-Lücken sind ein klassischer Baustein in Angriffsketten: Angreifer, die bereits einen Fuß in einem System haben, nutzen sie, um sich umfassende Kontrolle zu verschaffen.

In der Gesamtschau bestätigen die Schwachstellen dieser Woche ein vertrautes Muster. Betroffen sind zentrale, weitverbreitete Komponenten — Fernwartung, Betriebssystemkern, Betriebssystem-Shell sowie Hosting-Verwaltung —, deren Kompromittierung jeweils erhebliche Folgewirkungen entfalten kann. Der gemeinsame Nenner ist die Dringlichkeit: Wo aktive Ausnutzung belegt ist, zählt jede Stunde, und unvollständige Korrekturen verlangen ein wachsames Nachverfolgen der Hersteller-Updates.

Ransomware-Lage

Die Ransomware-Lage bleibt unverändert angespannt und ist von der parallelen Aktivität mehrerer Gruppen geprägt. Zu den in dieser Woche besonders auffälligen Akteuren zählen unter anderem Qilin, DragonForce und Incransom, ergänzt durch weitere aktive Gruppen wie apt73, payoutsking, fulcrumsec und m3rx. Diese Aufzählung ist als Auswahl der aktivsten Akteure zu verstehen und nicht als vollständiges Bild des gesamten Geschehens — das Feld der erpresserisch tätigen Gruppen ist breiter und in ständiger Bewegung.

Charakteristisch bleibt die Gleichzeitigkeit der Aktivitäten: Statt einer einzelnen dominierenden Gruppe prägt ein Nebeneinander mehrerer Akteure das Bild, die unabhängig voneinander Opfer ins Visier nehmen und über Leak-Plattformen Druck aufbauen. Diese Fragmentierung erschwert die Verteidigung, weil sich Vorgehensweisen, Werkzeuge und bevorzugte Einfallstore von Gruppe zu Gruppe unterscheiden und kein einheitliches Abwehrmuster greift.

Besonders relevant für die hiesige Leserschaft ist, dass von der Aktivität dieser Woche auch Einrichtungen im deutschsprachigen Raum betroffen waren. Betroffen sind erfahrungsgemäß Organisationen über verschiedene Branchen hinweg, ohne dass eine einzelne Region oder ein einzelner Sektor das Geschehen allein bestimmt. Aus naheliegenden rechtlichen Gründen wird hier auf die Nennung einzelner geschädigter Organisationen verzichtet; im Vordergrund steht die Einordnung des Gesamtphänomens.

Die Verbindung zur Schwachstellenlage liegt auf der Hand: Die in dieser Woche hervorgehobenen Lücken — von Fernwartungssoftware über Authentifizierungs-Umgehungen bis hin zu Rechteausweitungen — sind genau jene Bausteine, die erpresserisch tätige Gruppen für den initialen Zugriff und die anschließende Ausbreitung im Netzwerk benötigen. Konsequentes Patchen, eine saubere Trennung von Zugriffswegen und belastbare, getestete Backups bleiben damit die wirksamsten Gegenmittel gegen die anhaltende Bedrohung.

Bemerkenswerte Vorfälle und Themen der Woche

Die Berichterstattung der Woche wird maßgeblich von den behördlichen Reaktionen auf die aktiv ausgenutzten Schwachstellen bestimmt. So wurden die Lücken in ConnectWise ScreenConnect und in Windows in den Katalog bekannter, aktiv ausgenutzter Schwachstellen aufgenommen — ein deutliches Signal, dass diese Probleme nicht theoretischer Natur sind, sondern bereits in laufenden Angriffen eine Rolle spielen. Die Aufnahme in einen solchen Katalog dient zugleich als Orientierungshilfe für Organisationen, die ihre Patch-Priorisierung an realer Ausnutzung statt an bloßen Schweregraden ausrichten möchten.

Darüber hinaus wurde das Einspielen des Patches für die aktiv ausgenutzte Windows-Lücke ausdrücklich angeordnet. Eine derartige verbindliche Vorgabe unterstreicht den Ernst der Lage und verschafft dem Thema zusätzliches Gewicht über den Kreis der unmittelbar verpflichteten Stellen hinaus, weil sie auch privaten Betreibern als klare Empfehlung dient.

Für besondere Aufmerksamkeit sorgt die Bestätigung der aktiven Ausnutzung der Windows-Shell-Lücke CVE-2026-32202 durch Microsoft selbst. Wenn ein Hersteller die laufende Ausnutzung einer eigenen Schwachstelle einräumt, verschiebt sich die Diskussion von der Frage des Ob hin zum Wie der schnellstmöglichen Absicherung. Verschärft wird die Situation durch den Befund, dass ein unvollständiger Windows-Patch weiterhin Zero-Click-Angriffe auf Anmeldedaten ermöglichte. Gerade Zero-Click-Szenarien sind heikel, weil sie ohne jede Interaktion der Betroffenen auskommen und damit klassische Sensibilisierungsmaßnahmen ins Leere laufen lassen.

Als roter Faden zieht sich durch die Themen der Woche die Erkenntnis, dass das Vorhandensein eines Patches und dessen tatsächliche Wirksamkeit zwei verschiedene Dinge sein können. Unvollständige Korrekturen, behördliche Anordnungen und herstellerseitige Bestätigungen aktiver Ausnutzung zeigen gemeinsam, dass Schwachstellenmanagement ein fortlaufender Prozess ist, der nach dem ersten Update nicht endet. Für Organisationen bleibt die Konsequenz eindeutig: aktiv ausgenutzte Lücken in zentralen Komponenten ohne Verzögerung schließen, Nachbesserungen der Hersteller aufmerksam verfolgen und die Wirksamkeit der eingespielten Updates überprüfen, statt sich auf deren bloße Installation zu verlassen.