Thought Leadership
CISA fügt aktiv ausgenutzte Windows- und ConnectWise-Lücken dem KEV-Katalog hinzu. APT28 und Storm-1175 nutzen diese für Spionage und Ransomware.
Die US-Cybersicherheitsbehörde CISA hat am zwei Sicherheitslücken in den Katalog der bekanntlich ausgenutzten Schwachstellen (KEV) aufgenommen. Die Entscheidung basiert auf Belegen für aktive Angriffe gegen Microsoft Windows und die Fernwartungssoftware ConnectWise ScreenConnect. Diese Einstufung verpflichtet US-Bundesbehörden zur sofortigen Behebung, dient aber weltweit als Warnsignal für Unternehmen.
Russische Akteure nutzen unvollständigen Windows-Patch aus
Die Aufnahme der Schwachstelle CVE-2026-32202 erfolgte kurz nachdem Microsoft einräumen musste, dass die Windows-Shell-Lücke bereits für Angriffe instrumentalisiert wird. Analysen von Akamai zeigen, dass diese Schwachstelle auf einen unvollständigen Patch für eine frühere Lücke zurückgeht. Die russische Gruppierung APT28 nutzt diesen Fehler bereits seit Dezember 2025 gezielt für Attacken in der Ukraine und in EU-Mitgliedstaaten. Durch den Fehler im Schutzmechanismus der Windows Shell können Angreifer über das Netzwerk Spoofing-Angriffe durchführen und Nutzeridentitäten gefährden.
Chinesische Hacker verbreiten Medusa-Ransomware über ConnectWise
Die zweite Schwachstelle, CVE-2024-1708, betrifft ConnectWise ScreenConnect und ermöglicht durch ein sogenanntes Path Traversal die Ausführung von Remote-Code. Microsoft verknüpft die Ausnutzung dieser Lücke mit dem chinesischen Akteur Storm-1175. Die Angreifer kombinieren diesen Fehler oft mit einem kritischen Authentifizierungs-Bypass, um in Netzwerke einzudringen und die Medusa-Ransomware zu verbreiten. Obwohl Korrekturen für ConnectWise bereits seit Februar 2024 existieren, finden Angreifer immer noch ausreichend ungepatchte Systeme für ihre Operationen.
CISA setzt Frist für Sicherheitsupdates bis Mitte Mai
Die CISA hat für zivile Bundesbehörden eine verbindliche Frist bis zum 12. Mai 2026 gesetzt, um die betroffenen Systeme abzusichern. Da die Angreifer staatlich gelenkt agieren und kritische Infrastrukturen sowie vertrauliche Daten im Visier haben, wird auch privaten Organisationen dringend empfohlen, die entsprechenden Fixes einzuspielen. Während für die Windows-Lücke die April-Updates 2026 entscheidend sind, müssen ConnectWise-Nutzer sicherstellen, dass sie die aktuellen Versionen der ScreenConnect-Software verwenden, um den Zugriffspfad für Ransomware-Gruppen zu schließen.
