Der Januar-Patchday von Microsoft brachte auch die monatlichen Sicherheitsupdates für die Windows-Betriebssysteme. Bereits einen Tag nach der Verteilung meldet Microsoft nun unerwünschte Nebenwirkungen. Immerhin: Einen Tipp als Notbehelf liefert Microsoft auch mit.

Im Windows-Release-Health-Center hat Microsoft den Eintrag bei den betroffenen Betriebssystemen ergänzt. „Nach Installation der Windows-Sicherheitsupdates aus dem Januar 2026 traten Fehler in den Zugangsdaten-Abfrage-Prompts bei der Remote-Desktop-Verbindung mit der Windows-App auf Windows-Client-Geräten auf, die Azure Virtual Desktop und Windows 365 betreffen“, erklärt Microsoft die Symptome. Und weiter: „Das Problem betrifft die Windows-App auf bestimmten Windows-Builds und verursacht Anmeldefehler.“ Die Untersuchung und Debugging laufen, wobei sich die Azure-Virtual-Desktop- und Windows-Update-Teams koordinieren.

Verbindungsprobleme: Temporäre Gegenmaßnahmen

Microsoft schlägt zwei Möglichkeiten vor, mit denen sich Betroffene helfen können. Einerseits können sie den Remote-Desktop-Client für Windows für eine Verbindung zum Azure Virtual Desktop einsetzen. Der Download und ein Versionsverlauf steht auf einer eigenen Webseite von Microsoft bereit.

Andererseits bietet Microsoft die Windows-App auch als Web-Client auf der Webseite windows.cloud.microsoft an. Diese soll die beobachteten Probleme nicht aufweisen.

Die Liste der betroffenen Betriebssysteme ist lang. Die Verbindungsprobleme treten laut Microsoft in Windows 11 25H2, 24H2, 23H2, Windows 10 22H2, 21H2, Enterprise LTSC 2019 und 2016 sowie die Windows Server 2025, 2022 und 2019 auf.

Am Januar-Patchday von Microsoft, der in der Nacht von Dienstag auf Mittwoch in dieser Woche stattfand, hat der Hersteller mit den Sicherheitsupdates für die Windows-Betriebssysteme etwa eine bereits attackierte Schwachstelle (CVE-2026-20805) ausgebessert. Sie betrifft neben Windows 10 und 11 auch verschiedene Server-Ausgaben.

(dmk)

Internationale Strafverfolger haben zusammen mit Microsoft den virtuellen Hoster RedVDS vom Netz genommen, dessen Infrastruktur für verschiedene Betrugstaten genutzt worden sein soll. Herzstück des von IT-Kriminellen frequentierten Dienstes soll ein Rechenzentrum in Deutschland gewesen sein.

Ab 24 US-Dollar monatlich bot RedVDS virtuelle dedizierte Server und internationale IP-Adressen sowie weitere anonyme Dienstleistungen an. Das Angebot wurde nach Erkenntnissen Microsofts und der Strafverfolger für zahlreiche Betrugsfälle genutzt. Nach der Tat werden die Server gelöscht und erschweren damit die Ermittlungen.

„Digitales Tatmittel“

„Dieses Angebot war darauf ausgerichtet, Cyberkriminellen ein digitales Tatmittel an die Hand zu geben, um hierüber die weitgehend anonyme Begehung von Straftaten zu ermöglichen“, heißt es in der Erklärung der Zentralstelle für Internet- und Computerkriminalität (ZIT) bei der Generalstaatsanwaltschaft in Frankfurt und des Landeskriminalamts Brandenburg.

Ein physischer Standort von RedVDS war in einem Rechenzentrum in Deutschland. Dort haben die Behörden Server beschlagnahmt. Laut dpa steht das Rechenzentrum in Limburg an der Lahn. Tatverdächtige wurden nicht festgenommen. Sie werden in einem nicht näher bezeichneten Nahost-Staat vermutet.

Microsoft nennt die Gruppe, die RedVDS betreibt „Storm-2470“. Die Plattform sei von zahlreichen anderen beobachteten Akteuren genutzt worden, sagt eine Analyse des Konzerns.

Phishing und Boss-Betrug

Nach Angaben von Microsoft wurde die Plattform von Red VDS „für unterschiedlichste Zwecke” eingesetzt, darunter der massenhafte Versand von Phishing-E-Mails oder das „Hosten von Scam-Infrastruktur”. Innerhalb eines Monats sollen Täter über mehr als 2600 virtuelle Maschinen von RedVDS durchschnittlich eine Million Phishing-Nachrichten pro Tag an Microsoft-Kunden geschickt haben.

RedVDS soll dabei auch für die derzeit beliebte Masche des Zahlungsumleitungsbetrugs eingesetzt worden sein. Dabei verschaffen sich Täter per Phishing Zugang zu den Computersystemen ihrer Opfer, um sie auszuforschen. Bei bevorstehenden Zahlungsvorgängen etwa von Unternehmen oder Immobilienmaklern können sie sich dann überzeugend als Beteiligte ausgeben und Rechnungen fälschen sowie Zahlungen umleiten.

„RedVDS ist ein Online-Abo-Dienst und Teil des wachsenden Cybercrime-as-a-Service-Ökosystems – einer Schattenwirtschaft, in der IT-Straftäter Dienstleistungen und Werkzeuge kaufen und verkaufen, um Angriffe in großem Maßstab durchzuführen”, erklärt Steven Masada von Microsofts Digital Crimes Unit.

Millionenschaden nur „Spitze des Eisbergs“

Laut Microsoft war RedVDS als Plattform an einem der größten Betrugsfälle der vergangenen Jahre beteiligt. Allein in den USA sei in den vergangenen sieben Monaten ein Schaden von 40 Millionen US-Dollar (34,3 Millionen Euro) entstanden. „Das ist aber nur die Spitze eines Eisbergs“, sagte eine Sprecherin der dpa.

Zu den Geschädigten gehörte zum einen das Arzneimittelunternehmen H2 Pharma aus dem US-Bundesstaat Alabama, das um 7,3 Millionen Dollar betrogen wurde. Betroffen war auch eine Wohnungseigentümergemeinschaft in Florida, die um fast 500.000 Dollar erleichtert wurde.

„Microsoft ist H2 Pharma und der Gatehouse Dock Condominium Association sehr dankbar, dass sie sich gemeldet und ihre Erfahrungen mitgeteilt haben”, betonte Masada. „Ihre Zusammenarbeit hat diese Maßnahme erst möglich gemacht.“

Die deutschen Ermittler gehen von Hunderten Geschädigten in Deutschland aus, in Brandenburg von einer unteren zweistelligen Zahl. Das LKA Brandenburg leitet die Ermittlungen.

Ermittler nehmen verstärkt die Online-Infrastruktur Krimineller ins Visier. Im vergangenen November konnte die niederländische Polizei einen sogenannten Bulletproof Hoster zerschlagen. 2019 war Deutschland Schauplatz einer spektakulären Razzia im Cyberbunker. Dessen Betreiber wurden inzwischen rechtskräftig zu Haftstrafen verurteilt.

(vbr)

Fortinet verteilt aktualisierte Software, um teils kritische Sicherheitslücken unter anderem in FortiSIEM und FortiFone zu schließen. IT-Verantwortliche sollten sie rasch installieren, da Schwachstellen in Fortinet-Produkten häufig im Visier von Cyberkriminellen stehen.

In FortiSIEM können Angreifer aus dem Netz über gezielt präparierte TCP-Anfragen beliebige Befehle und Code einschleusen (CVE-2025-64155, CVSS 9.4, Risiko „kritisch“). Grund ist eine unzureichende Filterung von Elementen, die in Betriebssystembefehlen verwendet werden. Die Fehler korrigieren die Versionen FortiSIEM 7.4.1, 7.3.5, 7.2.7 und 7.1.9. Wer ältere Fassungen einsetzt, muss auf eine der fehlerkorrigierten Stände migrieren. FortiFone 7.0.2 und 3.0.24 oder neuer stopfen zudem eine Lücke, über die nicht autorisierte Angreifer per manipulierten HTTP- oder HTTPS-Anfragen sensible Informationen aus dem FortiFone-Webportal ausspähen können – ohne sich vorher anmelden zu müssen (CVE-2025-47855, CVSS 9.3, Risiko „kritisch“).

Weitere Sicherheitslücken

Eine hochriskante Sicherheitslücke stopfen Updates in FortiOS und FortiSwitchManager. Mit präparierten Anfragen an den cw_acd-Daemon können nicht authentifizierte Angreifer aus dem Netz einen Heap-basierten Pufferüberlauf provozieren. Dabei kann eingeschleuster Schadcode zur Ausführung gelangen (CVE-2025-25249, CVSS 7.4, Risiko „hoch“).

Als temporäre Maßnahme können Admins den „fabric“-Access auf allen Interfaces entfernen. Korrekt dichten die Versionen FortiOS 7.6.4, 7.4.9, 7.2.12, 7.0.18 und 6.4.17, FortiSASE 25.2.c sowie FortiSwitchManager 7.2.7 und 7.0.6 oder neuer das Sicherheitsleck ab. FortiSASE 25.1.a.2 ist verwundbar, jedoch ist zum Ausbessern der Schwachstelle die Migration auf 25.2.c erforderlich.

Zudem korrigiert Fortinet noch sicherheitsrelevante Fehler mit mittlerer oder niedriger Risikoeinstufung in FortiClientEMS, FortiVoice und FortiSandbox.

Die Liste der einzelnen Sicherheitsmitteilungen:

• FortiSIEM Unauthenticated remote command injection, CVE-2025-64155, CVSS 9.4, Risiko „kritisch“
• FortiFone Unauthenticated access to local configuration, CVE-2025-47855, CVSS 9.3, Risiko „kritisch“
• FortiOS, FortiSASE, FortiSwitchManager Heap-based buffer overflow in cw_acd daemon, CVE-2025-25249, CVSS 7.4, Risiko „hoch“
• FortiClientEMS Authenticated SQL injection in API endpoint, CVE-2025-59922, CVSS 6.8, Risiko „mittel“
• FortiVoice Arbitrary file deletion in administrative interface, CVE-2025-58693, CVSS 5.7, Risiko „mittel“
• FortiSandbox SSRF in GUI console, CVE-2025-67685, CVSS 3.4, Risiko „niedrig“

Fortinet-Sicherheitslücken sind immer wieder im Visier von Angreifern. Vergangene Woche hatte die US-amerikanische IT-Sicherheitsbehörde CISA etwa vor laufenden Attacken im Internet auf eine kritische Sicherheitslücke aus dem Jahr 2020 gewarnt. Mitte Dezember erfolgten zudem Angriffe in freier Wildbahn auf eine Lücke im Single-Sign-On von FortiOS, FortiProxy, FortiSwitchManager und FortiWeb.

(dmk)