Angreifer haben es schon länger auf eine „kritische“ Sicherheitslücke in Dell RecoverPoint for Virtual Machines abgesehen. Sicherheitspatches sind verfügbar. Weiterhin sind noch Dell Avamar Server, Avamar Virtual Edition, Networking OS10, Power Max EEM, Solutions Enabler Virtual Appliance, Unisphere 360, Unisphere for PowerMax und Unisphere for PowerMax Virtual Appliance angreifbar.

Seit zwei Jahren Attacken

Vor den laufenden Attacken auf eine „kritische“ Schwachstelle mit Höchstwertung (CVE-2026-22769 CVSS Score 10 von 10) in Dell RecoverPoint for Virtual Machines warnen Sicherheitsforscher von Google und Mandiant in einem Beitrag. Wie aus einer Warnmeldung des Computerherstellers hervorgeht, greifen entfernte Angreifer aufgrund von hartcodierten Zugangsdaten ohne Authentifizierung auf Instanzen zu. Dabei setzen sie sich mit Root-Rechten in Systemen mittels einer Hintertür (Grimbolt) fest und kompromittieren PCs so vollständig.

Dahinter sollen staatliche chinesische Hacker der Gruppe UNC6201 stecken. Die Sicherheitsforscher geben an, dass bereits seit Mitte 2024 Attacken laufen. In welchem Umfang die Angriffe stattfinden und auf welche Zielpersonen es die Angreifer abgesehen haben, ist derzeit nicht bekannt. Admins sollten sicherstellen, dass die gegen die Angriffe abgesicherte Ausgabe 6.0 SP3 (6.0.3.1) installiert ist. Weitere Informationen zum Sicherheitsupdate stehen in der Warnmeldung.

Weitere Gefahren

Überdies können Angreifer noch weitere Dell-Produkte wie Avamar Server und Unisphere for PowerMax attackieren. Diese Schwachstellen sind mit dem Bedrohungsgrad „mittel“ eingestuft. Setzen Angreifer erfolgreich an den Lücken an, können sie unter anderem eigenen Code ausführen oder Dateien löschen. Angaben zu den Sicherheitsupdates finden sich in den verlinkten Warnmeldungen:

• Dell Networking OS10
• Dell Avamar Server and Dell Avamar Virtual Edition Improper Limitation of a Pathname to a Restricted Directory (‚Path Traversal‘) Vulnerability
• Dell Avamar Server and Dell Avamar Virtual Edition
• Dell PowerMaxOS, Dell PowerMax EEM, Dell Unisphere for PowerMax, Dell Unisphere for PowerMax Virtual Appliance, Dell Unisphere 360, Dell Solutions Enabler Virtual Appliance
• Dell Avamar Server and Dell Avamar Virtual Edition
• Dell PowerMaxOS, Dell PowerMax EEM, Dell Unisphere for PowerMax, Dell Unisphere for PowerMax Virtual Appliance, Dell Unisphere 360, Dell Solutions Enabler Virtual Appliance

(des)

Microsoft warnt vor einer Sicherheitslücke im Windows Admin Center. Angreifer können dadurch ihre Rechte ausweiten. IT-Verantwortliche müssen zum Schließen der Lücke aktiv werden und ein Software-Update installieren.

Die Schwachstellenbeschreibung mit der Bezeichnung CVE-2026-26119 hat Microsoft in der Nacht zum Mittwoch veröffentlicht. Es handelt sich um eine unzureichende Authentifizierung (CWE-287), schreibt Microsoft lediglich. Zu den Auswirkungen bei einem erfolgreichen Missbrauch führen die Entwickler noch aus: „Angreifende würden die Rechte der Benutzenden erlangen, die die betroffene Anwendung ausführen.“ (CVE-2026-26119, CVSS 8.8, Risiko „hoch“). Abweichend von der Risikoeinstufung gemäß CVSS3-Wert schätzen die Redmonder das Risiko jedoch sogar als „kritisch“ ein.

Zwar wurden die Details zur Schwachstelle bislang nicht veröffentlicht und Microsoft weiß auch noch von keinem verfügbaren Exploit. Jedoch schätzt das Unternehmen, dass Angreifer in absehbarer Zeit die Sicherheitslücke mit höherer Wahrscheinlichkeit ausnutzen werden.

Windows Admin Center: Update verfügbar

Für das Windows Admin Center steht die Software-Version 2511 bereit. Die ist bereits im Dezember vergangenen Jahres erschienen und korrigiert das nun gemeldete Sicherheitsproblem. Vor einer Woche haben Microsofts Entwickler jedoch noch ein Verteilungsskript sowie die zugehörige Dokumentation aktualisiert. Wer die Softwareaktualisierung bereits installiert hat, muss nicht erneut handeln; wer noch ältere Fassungen einsetzt, sollte zügig auf den neuen Stand wechseln.

Das Windows Admin Center ist eine kostenlose Zusatzsoftware, die zur Verwaltung von Windows-Geräten ab Windows 10 und Windows Server 2012 in Netzwerken mit einer webbasierten Bedienoberfläche dient. Sie stellt übersichtlich Informationen zu Server-Performance, Voraussagen für benötigte Kapazitäten sowie Funktionen zur Verwaltung von Windows-Systemen und zur Lösung von auftretenden Problemen etwa mittels Fernwartung bereit. Sie fußt technisch auf der Microsoft Management Console (MMC).

(dmk)

Trotz Notbetrieb hat die US-amerikanische IT-Sicherheitsbehörde CISA eine Warnung vor laufenden Angriffen auf Sicherheitslücken in Chrome, Zimbra, ThreatSonar und einem ActiveX-Modul herausgegeben. Eine der Schwachstellen ist bereits volljährig: Sie wurde vor 18 Jahren entdeckt.

Der derzeitige Shutdown der US-Behörde scheint jedoch bereits Verzögerungen zu verursachen, vor denen der CISA-Direktor Gottumukkala jüngst in einer Anhörung vor dem US-Repräsentantenhaus warnte. Erst in der Nacht zum Mittwoch kam nun etwa der Hinweis der CISA auf den Missbrauch der Chrome-Schwachstelle in der CSS-Verarbeitung, für die Google in der Nacht zum Samstag bereits ein Notfall-Update bereitgestellt hat (CVE-2026-2441, CVSS 8.8, Risiko „hoch“).

Weitere angegriffene Software

Außerdem haben die IT-Sicherheitsexperten offenbar Belege für Attacken auf eine Sicherheitslücke in der ThreatSonar Anti-Ransomware. Aufgrund unzureichender Prüfung von hochgeladenen Dateien können User mit Admin-Rechten auf der Plattform bösartige Dateien hochladen, die sie zum Ausführen beliebiger Systembefehle auf dem Server nutzen können (CVE-2024-7694, CVSS 7.2, Risiko „hoch“). Unter Beschuss ist auch eine ältere Lücke in der Groupware Zimbra. Es handelt sich um eine Server-Side Request Forgery (SSRF) bei installiertem WebEx-Zimlet und aktivem JSP-Zimlet. Derartige SSRF-Lecks erlauben in der Regel durch Umleitungen Zugriffe auf eigentlich abgeschottete Ressourcen (CVE-2020-7796, CVSS 9.8, Risiko „kritisch“).

Der Oldie unter den aktuell angegriffenen Schwachstellen ist jedoch ein unerwarteter Wiedergänger: eine Sicherheitslücke in Microsofts Video ActiveX Control. Die war zum damaligen Zeitpunkt in Windows 2000 SP4, XP SP2 und SP3, Vista Gold, SP1 und SP2, Server 2003 SP2 sowie Server 2008 Gold und SP2 enthalten und ermöglichte Angreifern aus dem Netz, mit manipulierten Webseiten Schadcode einzuschleusen (CVE-2008-0015, CVSS [2.0] 9.3, Risiko „hoch“).

IT-Verantwortliche sollten prüfen, ob sie die verwundbare Software einsetzen und sie auf den aktuellen Stand bringen.

(dmk)