KW 21/2026: Alte Bekannte und frische Zero-Days: Defender-Lücken und breite Ransomware-Front

Überblick und Einordnung der Woche

Die Woche fällt unruhiger aus als zuletzt: Es traten spürbar mehr neu ausgenutzte Schwachstellen in Erscheinung, und die Bandbreite der betroffenen Produkte reicht von aktueller Sicherheitssoftware bis zu altbekannten Schwachstellen, die längst gepatcht sein sollten. Im Mittelpunkt stehen aktiv ausgenutzte Lücken in Schutz- und Verwaltungsprodukten — also genau jener Software, die Angriffe eigentlich abwehren soll. Parallel dazu zeigt sich die Ransomware-Front breit aufgestellt, mit anhaltender Aktivität gleich mehrerer Gruppen. Bemerkenswert ist, dass auch Einrichtungen im deutschsprachigen Raum ins Visier gerieten. Das Gesamtbild ist damit angespannt: Verteidiger sehen sich gleichzeitig mit frischen Zero-Days und der Wiederkehr lange bekannter Schwachstellen konfrontiert.

Schwachstellen und ausgenutzte Sicherheitslücken

Im Zentrum steht Microsoft Defender: Mit CVE-2026-41091 wurde eine Schwachstelle bekannt, über die ein bereits angemeldeter Angreifer durch das Ausnutzen einer Link-Following-Schwäche lokal seine Rechte ausweiten kann — besonders heikel, weil es ausgerechnet die Schutzlösung selbst trifft. Ebenfalls hochbrisant ist CVE-2025-34291 in Langflow, wo eine zu freizügige CORS-Konfiguration in Verbindung mit dem Refresh-Mechanismus zu einer Origin-Validierungs-Schwäche führt — ein Risiko, das die wachsende Angriffsfläche von KI- und Workflow-Plattformen unterstreicht. Hinzu kommt CVE-2026-9082 in Drupal Core, eine SQL-Injection, die bis zur Rechteausweitung und Codeausführung führen kann und damit Web-Infrastruktur unmittelbar bedroht.

Auffällig ist daneben die Rückkehr einer ganzen Reihe altbekannter Schwachstellen, die erneut in den Fokus rückten. Dazu zählen die Lücke im Windows Server Service (CVE-2008-4250), die NULL-Byte-Überschreibung im QuickTime-Movie-Parser von Microsoft DirectX (CVE-2009-1537) sowie die Heap-basierte Pufferüberlauf-Schwäche in Adobe Acrobat und Reader (CVE-2009-3459). Hinzu treten zwei Use-after-free-Schwachstellen im Internet Explorer (CVE-2010-0249 und CVE-2010-0806). Dass derart betagte Sicherheitslücken weiterhin eine Rolle spielen, verweist auf das anhaltende Problem ungepatchter Alt- und Bestandssysteme, die Angreifern bequeme Einstiegspunkte bieten.

Ransomware-Lage

Die Ransomware-Aktivität bleibt hartnäckig und verteilt sich auf eine breite Auswahl aktiver Gruppen. Auffällig waren in dieser Woche unter anderem qilin, thegentlemen, nightspire, nova, akira, safepay und dragonforce — wobei dies nur eine Auswahl der aktivsten Akteure darstellt und keine vollständige Übersicht. Das Nebeneinander etablierter Namen und jüngerer Erscheinungen zeigt, dass das Feld weiterhin in Bewegung ist und sich der Druck nicht auf wenige dominante Gruppen konzentriert, sondern auf mehreren Schultern ruht.

Betroffen waren Organisationen aus unterschiedlichen Branchen und Regionen; auch Einrichtungen im deutschsprachigen Raum standen auf den Leak-Seiten und in den Erpressungskampagnen. Konkrete Namen geschädigter Unternehmen bleiben hier außen vor — entscheidend ist das Lagebild: Die anhaltende Aktivität so vieler Gruppen parallel sorgt für ein dauerhaft erhöhtes Grundrauschen, das Verteidiger nicht als Einzelereignis, sondern als Dauerzustand einplanen müssen. Doppelte Erpressung mit vorheriger Datenexfiltration bleibt dabei das prägende Muster und erhöht den Handlungsdruck auf die betroffenen Organisationen zusätzlich.

Bemerkenswerte Vorfälle und Themen der Woche

Die Berichterstattung wurde maßgeblich von Microsoft geprägt: Gleich zwei aktiv ausgenutzte Zero-Day-Lücken in Defender wurden geschlossen — ein Thema, das in mehreren Meldungen aufgegriffen wurde und die Tragweite verdeutlicht, wenn ausgerechnet die Schutzkomponente selbst zum Einfallstor wird. Ebenfalls stark beachtet: Trend Micro warnte vor einer aktiv für Angriffe ausgenutzten Zero-Day-Schwachstelle in Apex One, einer verbreiteten Endpoint-Schutzlösung — auch hier trifft es die Verteidigungsinfrastruktur unmittelbar.

Flankiert wurde dies durch die Aufnahme aktiv ausgenutzter Lücken in Langflow und Trend Micro Apex One in den KEV-Katalog der CISA. Diese Listung ist ein deutliches Signal an die Praxis, die betroffenen Produkte mit Vorrang zu patchen, da eine Ausnutzung nicht mehr theoretisch, sondern bereits real ist. In der Summe zeichnen die Themen der Woche ein klares Bild: Die Angreifer richten ihren Blick gezielt auf jene Sicherheits- und Verwaltungsprodukte, die in Unternehmen besonders weit verbreitet sind — und zwingen Verteidiger dazu, ihre eigenen Schutzwerkzeuge mit derselben Wachsamkeit zu überwachen wie den Rest ihrer Infrastruktur.