Thought Leadership
Ein fehlerhafter Windows-Patch ermöglicht Zero-Click-Angriffe durch die Gruppe APT28. Ohne Interaktion stehlen Hacker Login-Daten direkt über den Explorer.
Ein kritischer Fehler im Patch-Management von Microsoft sorgt derzeit für Alarmstimmung in der IT-Sicherheitsbranche. Wie aktuelle Berichte des Sicherheitsdienstleisters Akamai belegen, hat ein unvollständiges Sicherheitsupdate vom Februar 2026 eine neue, gefährliche Schwachstelle geschaffen. Diese ermöglicht Zero-Click-Angriffe, bei denen Hacker sensible Zugangsdaten stehlen können, ohne dass der Nutzer eine Datei öffnen oder einen Link anklicken muss. Die Lücke wird bereits aktiv von der berüchtigten russischen Hackergruppe APT28 ausgenutzt, um Ziele in der Ukraine und der Europäischen Union anzugreifen.
Der Ursprung: Ein lückenhafter Reparaturversuch
Die Geschichte dieser Sicherheitslücke begann bereits Anfang des Jahres. Im Februar 2026 veröffentlichte Microsoft Patches für zwei Schwachstellen, die unter den Kennungen CVE-2026-21510 (Windows Shell) und CVE-2026-21513 (MSHTML) geführt wurden. Diese Lücken erlaubten es Angreifern, Schadcode aus der Ferne auszuführen (Remote Code Execution, RCE), sofern sie ein Opfer dazu bewegen konnten, eine präparierte Verknüpfungsdatei (LNK) oder ein HTML-Dokument zu öffnen.
Obwohl Microsoft die Gefahr damals als behoben einstufte, entdeckten Forscher von Akamai bei einer genaueren Analyse, dass die Korrektur nicht tiefgreifend genug war. Zwar wurde der direkte Pfad zur Codeausführung blockiert, doch ein entscheidender Teil der System-Logik blieb ungeschützt. Dieser Umstand führte zur Entdeckung der neuen Schwachstelle CVE-2026-32202, einer sogenannten Authentication Coercion Vulnerability.
Die Gefahr lauert im Explorer
Das Besondere an CVE-2026-32202 ist der vollständige Verzicht auf eine Nutzer-Interaktion. Bei herkömmlichen Angriffen muss der Anwender eine Datei aktiv starten. Im aktuellen Szenario reicht es jedoch aus, wenn ein Nutzer lediglich einen Ordner im Windows Explorer öffnet, in dem sich eine manipulierte LNK-Datei befindet.
Sobald Windows Explorer den Inhalt des Verzeichnisses darstellt, versucht das System automatisch, das Icon für die Datei zu laden. Die manipulierte Verknüpfung weist den Windows-Dienst shell32.dll jedoch an, dieses Icon von einem entfernten Server über das Server Message Block (SMB) Protokoll abzurufen. In diesem Moment geschieht der eigentliche Datendiebstahl: Um die Verbindung zum Server aufzubauen, initiiert Windows automatisch einen NTLM-Authentifizierungs-Handshake. Dabei wird der Net-NTLMv2-Hash des Nutzers an den Server des Angreifers gesendet. Hacker können diesen Hash anschließend für sogenannte Relay-Angriffe nutzen, um sich Zugang zu anderen Systemen im Netzwerk zu verschaffen, oder ihn offline knacken, um das Klartext-Passwort zu erhalten.
Hinter APT28 stecken Russische Staats-Hacker
Hinter den Angriffen steht laut übereinstimmenden Berichten die Gruppierung APT28, die auch unter Namen wie Fancy Bear oder Forest Blizzard bekannt ist und dem russischen Militärgeheimdienst GRU zugerechnet wird. Die Gruppe ist seit Jahren für ihre hochspezialisierten Spionage-Kampagnen gegen Regierungs-Einrichtungen und Verteidigungs-Organisationen berüchtigt.
Bereits im Dezember 2025 beobachteten Sicherheits-Experten erste Kampagnen, bei denen die ursprünglichen Lücken in Windows-SmartScreen und der Windows-Shell kombiniert wurden. APT28 nutzt dabei die Art und Weise aus, wie die Windows-Shell Namespace-Pfade verarbeitet, um bösartige DLL-Dateien von entfernten Servern zu laden. Da diese Dateien als Objekte der Systemsteuerung (Control Panel) behandelt werden, umgehen sie oft gängige Sicherheits-Prüfungen der Netzwerkzonen.
Microsoft markiert Schwachstelle als „bereits ausgenutzt“
Microsoft hat auf die Entdeckungen reagiert und im Rahmen des April-Patchdays 2026 Korrekturen für die neue Lücke CVE-2026-32202 veröffentlicht. In den Sicherheits-Hinweisen wird die Schwachstelle als „bereits ausgenutzt“ markiert, was die Dringlichkeit der Updates unterstreicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt die Schwachstelle ebenfalls in seinen aktuellen Warnmeldungen und rät dringend dazu, die monatlichen Sicherheits-Updates zeitnah einzuspielen.
Insgesamt wurden im April-Update über 165 Sicherheitslücken geschlossen, was diesen Patchday zu einem der umfangreichsten der letzten Jahre macht. Neben der LNK-Problematik wurden auch kritische Fehler im Windows IKE-Dienst (Internet Key Exchange) behoben, die wurmartige Angriffe auf VPN-Server ermöglichen könnten.
Empfehlungen für Administratoren und Nutzer
Um sich effektiv gegen die Zero-Click-Angriffe durch APT28 zu schützen, sollten Unternehmen folgende Maßnahmen ergreifen:
- Sofortige Aktualisierung: Das Einspielen des kumulativen Sicherheits-Updates vom April 2026 ist die wichtigste Schutzmaßnahme.
- SMB-Traffic einschränken: Administratoren sollten ausgehenden SMB-Verkehr (Port 445) an externe Ziele im Internet blockieren. Dies verhindert, dass der Authentifizierungs-Handshake zu Servern außerhalb des eigenen Netzwerks stattfindet.
- NTLM-Nutzung reduzieren: Langfristig empfiehlt es sich, auf modernere Authentifizierungs-Verfahren wie Kerberos umzusteigen und die Übertragung von NTLM-Hashes über das Netzwerk, wo immer möglich, zu deaktivieren oder durch Mechanismen wie „SMB Signing“ und „Guest access restrictions“ abzusichern.
- Monitoring: Sicherheitsteams sollten nach ungewöhnlichen Verbindungs-Versuchen von Workstations zu unbekannten IP-Adressen über SMB suchen, insbesondere wenn diese durch den Windows Explorer (
explorer.exe) initiiert werden.
Während der ursprüngliche RCE-Angriffsweg blockiert wurde, blieb ein Einfallstor für den Identitäts-Diebstahl bestehen, das von staatlichen Akteuren sofort besetzt wurde. Die aktuelle Bedrohungslage unterstreicht die Notwendigkeit für Unternehmen, nicht nur auf Patches zu vertrauen, sondern ihre Netzwerke durch zusätzliche Härtungs-Maßnahmen gegen den Abfluss von Anmelde-Daten abzusichern.
