Windows-Shell-Lücke wird angegriffen | heise online

Microsoft hat eine Sicherheitslücke in der Windows Shell zum Februar-Patchday ausgebessert – CVE-2026-21510, die von der Cybergang APT28 – besser unter dem Namen Fancy Bear bekannt – in freier Wildbahn angegriffen wurde. Der Patch war unzureichend und hinterließ eine weitere Sicherheitslücke. Und die wird nun ebenfalls im Internet attackiert.

Microsoft hat die neue Schwachstelle CVE-2026-32202 (CVSS 4.3, Risiko „mittel“) am April-Patchday mit Softwareflicken ausgebessert. Im Laufe des Montags haben die Entwickler den Schwachstelleneintrag jedoch aktualisiert: Die Spoofing-Lücke in der Windows Shell wird demzufolge inzwischen ebenfalls von bösartigen Akteuren in freier Wildbahn missbraucht. Die Auswirkungen scheinen nicht so gravierend wie vor dem unzureichenden Patch aus dem Februar.

Angreifer können einige sensible Informationen abgreifen, jedoch keine Informationen verändern oder Ressourcen blockieren. Microsoft erklärt weiter, dass ein Schutzmechanismus nicht korrekt greift, sodass bösartige Akteure Spoofing-Angriffe über das Netz ausführen können. Laut Microsoft müssen Opfer jedoch dazu eine bösartige Datei ausführen, die Angreifer ihnen zusenden. Die Installation des Updates vom Patchday schützt vor dem Missbrauch der Lücke.

Hintergründe zur Schwachstelle

Akamai hat im Blog jedoch eine weitergehende Analyse veröffentlicht. Die IT-Analysten stufen die neue Schwachstelle anders als Microsoft als Zero-Click-Schwachstelle ein. Rechner der Opfer authentifizieren sich dadurch am Server der Angreifer ohne Nutzerinteraktion. Der ursprüngliche Angriff ermöglichte die Ausführung von Schadcode aus dem Netz (RCE, Remote Code Execution). Der erste Patch blockierte unsignierte oder nicht vertrauenswürdige LNK-Dateien, die etwa auf CPL-Dateien verweisen, mittels SmartScreen. Allerdings haben die Programmierer eine Stelle im Codepfad übersehen: Der Windows Explorer versucht, aus Dateien wie .lnk für die Zieldatei – .cpl – ein Icon zu extrahieren. Und hier findet eine Pfadprüfung statt, mitsamt der Verbindung zu fremden SMB-Servern. Das passiert beim Anzeigen des Verzeichnisses, ohne weitere Klicks durch Nutzer.

Beispielhaft enthält die LNK-Datei eine Verknüpfung auf „\\attacker.com\share\payload.cpl“, wodurch der Rechner beim Auflisten des Verzeichnisses eine Verbindung zum SMB-Server „\\attacker.com\“ aufbaut und dabei eine automatische NTLM-Authentifizierung startet, wodurch der Net-NTLMv2-Hash des Opferrechners an die Angreifer gesendet wird. Der lasse sich dann in NTLM-Relay-Attacken und für Offline-Cracking missbrauchen, erklärt Akamai weiter.

Das heise-security-Pro-Webinar „Authentifizierung im Active Directory absichern: Mit Microsofts veralteten Konzepten (über)leben“ liefert Admins Handreichungen zur Absicherung mit vertiefenden Erklärungen und Hintergründen zu Net-NTLM.

(dmk)