Microsoft hat eine Sicherheitslücke in der Windows Shell zum Februar-Patchday ausgebessert – CVE-2026-21510, die von der Cybergang APT28 – besser unter dem Namen Fancy Bear bekannt – in freier Wildbahn angegriffen wurde. Der Patch war unzureichend und hinterließ eine weitere Sicherheitslücke. Und die wird nun ebenfalls im Internet attackiert.

Microsoft hat die neue Schwachstelle CVE-2026-32202 (CVSS 4.3, Risiko „mittel“) am April-Patchday mit Softwareflicken ausgebessert. Im Laufe des Montags haben die Entwickler den Schwachstelleneintrag jedoch aktualisiert: Die Spoofing-Lücke in der Windows Shell wird demzufolge inzwischen ebenfalls von bösartigen Akteuren in freier Wildbahn missbraucht. Die Auswirkungen scheinen nicht so gravierend wie vor dem unzureichenden Patch aus dem Februar.

Angreifer können einige sensible Informationen abgreifen, jedoch keine Informationen verändern oder Ressourcen blockieren. Microsoft erklärt weiter, dass ein Schutzmechanismus nicht korrekt greift, sodass bösartige Akteure Spoofing-Angriffe über das Netz ausführen können. Laut Microsoft müssen Opfer jedoch dazu eine bösartige Datei ausführen, die Angreifer ihnen zusenden. Die Installation des Updates vom Patchday schützt vor dem Missbrauch der Lücke.

Hintergründe zur Schwachstelle

Akamai hat im Blog jedoch eine weitergehende Analyse veröffentlicht. Die IT-Analysten stufen die neue Schwachstelle anders als Microsoft als Zero-Click-Schwachstelle ein. Rechner der Opfer authentifizieren sich dadurch am Server der Angreifer ohne Nutzerinteraktion. Der ursprüngliche Angriff ermöglichte die Ausführung von Schadcode aus dem Netz (RCE, Remote Code Execution). Der erste Patch blockierte unsignierte oder nicht vertrauenswürdige LNK-Dateien, die etwa auf CPL-Dateien verweisen, mittels SmartScreen. Allerdings haben die Programmierer eine Stelle im Codepfad übersehen: Der Windows Explorer versucht, aus Dateien wie .lnk für die Zieldatei – .cpl – ein Icon zu extrahieren. Und hier findet eine Pfadprüfung statt, mitsamt der Verbindung zu fremden SMB-Servern. Das passiert beim Anzeigen des Verzeichnisses, ohne weitere Klicks durch Nutzer.

Beispielhaft enthält die LNK-Datei eine Verknüpfung auf „\\attacker.com\share\payload.cpl“, wodurch der Rechner beim Auflisten des Verzeichnisses eine Verbindung zum SMB-Server „\\attacker.com\“ aufbaut und dabei eine automatische NTLM-Authentifizierung startet, wodurch der Net-NTLMv2-Hash des Opferrechners an die Angreifer gesendet wird. Der lasse sich dann in NTLM-Relay-Attacken und für Offline-Cracking missbrauchen, erklärt Akamai weiter.

Das heise-security-Pro-Webinar „Authentifizierung im Active Directory absichern: Mit Microsofts veralteten Konzepten (über)leben“ liefert Admins Handreichungen zur Absicherung mit vertiefenden Erklärungen und Hintergründen zu Net-NTLM.

(dmk)

Im Cloud-basierten Identitätsverwaltungssystem Entra ID (Entitlement Management) hat Microsoft eine kritische Sicherheitslücke mit der höchsten Risikobewertung CVSS 10.0 von 10 geschlossen. Angreifer konnten die Lücke für Spoofing-Angriffe missbrauchen.

Microsoft hat eine Schwachstellenmeldung dazu veröffentlicht. Die Sicherheitslücke mit dem Eintrag CVE-2026-35431 (CVSS 10.0, Risiko „kritisch“) hat das Unternehmen demnach bereits im Laufe des vergangenen Donnerstags geschlossen. Es handelt sich um eine Server-Side-Request-Forgery (SSRF), wodurch Angreifer aus dem externen Netzwerk auf Ressourcen innerhalb des geschützten (lokalen) Netzwerkbereichs Zugriff erhalten. Unbefugte bösartige Akteure hätten dadurch Spoofing-Angriffe ausführen können.

Konkrete Details sind Mangelware

Wie Angriffe genau aussehen würden und was genau Angreifer hätten spoofen können, erklärt Microsoft jedoch nicht. Die Höchstwertung des Risikos deutet jedoch darauf hin, dass offenbar das Kompromittieren von Netzwerken dadurch möglich war – und zwar recht unkompliziert.

Die Schwachstelle war zuvor laut Microsoft noch nicht öffentlich bekannt und auch noch nicht missbraucht worden. Admins und IT-Verantwortliche müssen zudem nicht aktiv werden, da die Mitarbeiter von Microsoft das Problem bereits serverseitig behoben haben.

Es ist nicht ungewöhnlich, dass Microsoft Sicherheitslücken in den Cloudsystemen schließt und dadurch automatisch die Kunden schützt. Anfang Februar hat das Unternehmen etwa in der Multi-Cloud-Verwaltungslösung Azure Arc, der serverlosen Entwicklungsumgebung Azure Functions und dem Content Delivery Network (CDN) Azure Front Door Sicherheitslecks gestopft. Eines galt ebenfalls als kritisches Risiko, zwei immerhin als hochriskant. Angreifer hätten sich dadurch etwa höhere Nutzerrechte erschleichen oder Zugriff auf eigentlich geschützte Informationen erlangen können.

(dmk)

Eine groß angelegte Phishing-Welle läuft derzeit in Deutschland gegen Politiker, Journalisten, Diplomaten und Militärs. Weil die Ende-zu-Ende-Verschlüsselung Signals hält, was sie verspricht, setzen die Angreifer auf Überredungskunst, um Signal-Nutzer zur Herausgabe ihrer Zugangsdaten zu bewegen. Bisweilen gelingt dies, so bei der zweiten Frau im Staat. Dann eignen sich die Angreifer die fremde Identität an und spähen unter diesem Deckmantel die Kontakte des Opfers aus. Jetzt meldet sich die Stiftung, die Signal betreibt, zu Wort.

„Zu aller erst ist es wichtig, präzise zu sein, wenn es um Kritische Infrastruktur wie Signal geht”, schreibt die Signal Foundation auf Mastodon. „Signal wurde nicht ‚gehackt‘ – Verschlüsselung, Infrastruktur und Integrität des Programmcodes der Anwendung sind nicht kompromittiert.” Für die laufende Phishing-Kampagne würden sich die Angreifer als „Signal Support” ausgeben; dafür legten sie normale Signal-Konten an und änderten dann Profilname und -bild.

Dann versuchten sie, durch manipulative Mitteilungen die Zielperson zur Herausgabe ihrer Zugangsdaten zu bewegen. Dieses sogenannte social engineering hat unzählige Spielarten. Meist werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt – hier das Vertrauen in den vermeintlichen Signal-Support. Solche Angriffe auf den Faktor Mensche „belasten jede breit genutzte Messaging-App, sobald sie die Größe Signals erreicht hat”, weiß die Stiftung.

Maßnahmen in Arbeit

„In den kommenden Wochen” soll Signal eine Reihe von Änderungen erfahren, „die helfen, diese Art von Angriffen zu behindern.” Was das sein wird, verrät die Stiftung noch nicht. Das Grundproblem, dass Angreifer manche Nutzer dazu bewegen, die Vordertür aufzusperren, wenn es keine Hintertür gibt, betreffe alle Plattformen.

Was genau in den einzelnen manipulativen Nachrichten steht, kann auch Signal nicht sagen, denn die Mitteilungen sind ja Ende-zu-Ende verschlüsselt. Aber es gibt Berichte von Opfern und Zielpersonen. Demnach nutzen die Täter die herausgelockten Zugangsdaten, um das Signal-Konto der Zielperson zu übernehmen und die verknüpfte Telefonnummer zu ändern. Das führt zu einer De-Registrierung des ursprünglichen Kontos.

Abhilfe gegen Re-Registrierung

Das wissen die Täter natürlich, weshalb sie ihren Opfern schon im Voraus weis machen, dass die De-Registrierung normal und zu erwarten sei. Die Zielperson solle sich dann einfach neu anmelden, raten die Täter. Das tun die Opfer auch, im Glauben, sich in ihr altes Konto einzuloggen – tatsächlich haben sie schlicht ein neues Signal-Konto angelegt. Die Täter kontrollieren das alte Konto und nutzen das Vertrauen, das Dritte dem Konto schenken, aus, um Informationen zu sammeln, insbesondere über bestehende Kontakte und Gruppenchats. Das Erstopfer merkt von all dem nichts, weshalb unklar ist, wie viele Betroffene es gibt.

„Bitte bleiben Sie wachsam gegen Phishing und Versuchen von Kontoübernahmen”, schließt die Stellungnahme. „Merken Sie sich, dass der Signal-Support nie nach Ihrem Registrierungscode oder Ihrer Signal-PIN fragen wird. Zur zusätzlichen Absicherung können Sie in ihren Signal-Einstellungen (unter „Konto”) die Registrierungssperre aktivieren.” Voraussetzung ist die Einrichtung einer Signal-PIN (Persönliche IdentifikationsNummer).

Die optionale Registrierungssperre erfordert die Eingabe

der PIN, wenn eine bei Signal registrierte Telefonnummer zur Registrierung auf einem anderen Endgerät genutzt werden soll. Erst wenn das ursprüngliche Gerät Signal eine Woche lang nicht genutzt hat, läuft die Sperre ab.

Bin ich betroffen?

Die Angriffe laufen nicht nur gegen Personen in der Bundesrepublik, beispielsweise sind auch Mitglieder der Regierung der Niederlande betroffen. Bei den Angreifern handelt es sich vermutlich um russische Spione. Bereicherung oder ähnliche finanzielle Motive sind nicht bekannt.

Zwecks Spionageabwehr haben die Bundesämter für Verfassungsschutz (BfV) sowie Sicherheit in der Informationstechnik (BSI) gemeinsam einen Leitfaden veröffentlicht, der potenziellen Opfern helfen soll, rasch herauszufinden, ob sie erfolgreich attackiert worden sind. Unterdessen ermittelt die Bundesstaatsanwaltschaft; ein Ende der Angriffe ist nicht absehbar.

(ds)