Windows: Zero-Day-Exploit wird nachweislich ausgenutzt

Eine Windows-Shell-Schwachstelle, die beim Patchday dieses Monats behoben worden ist, wird inzwischen nachweislich aktiv ausgenutzt. CISA hat CVE-2026-32202 heute in seinen Known-Exploited-Vulnerabilities-Katalog aufgenommen und US-Bundesbehörden angewiesen, die Lücke bis zum 12. Mai zu patchen. Die Schwachstelle besteht, weil Microsofts Fix vom Februar 2026 für eine verwandte Lücke eine Authentifizierungslücke offen gelassen hat, die Angreifer inzwischen ausgenutzt haben.

Die ursprüngliche Schwachstelle, CVE-2026-21510, ist ein Versagen eines Schutzmechanismus der Windows Shell gewesen, das im Dezember 2025 bei Angriffen auf die Ukraine und EU-Staaten ausgenutzt worden ist. Microsoft hat CVE-2026-21510 im Februar gepatcht und die Lücke damals als aktiv ausgenutzt markiert. Was Microsoft dabei nicht gekennzeichnet hat, ist die Lücke, die der Patch offen gelassen hat.

Wie der unvollständige Fix eine Lücke offen gelassen hat

Das Cybersicherheitsunternehmen Akamai hat den Februar-Patch analysiert und festgestellt, dass der Fix zwar die Komponente zur Remote-Code-Ausführung blockiert hat, aber einen Vektor zur Erzwingung einer Authentifizierung offen gelassen hat. Wenn der Windows Explorer einen Ordner rendert, der eine manipulierte LNK-Verknüpfungsdatei enthält, löst er automatisch jeden UNC-Pfad auf, der in dieser Datei eingebettet ist. Führt dieser Pfad zu einem von Angreifern kontrollierten Server, baut Windows eine SMB-Verbindung auf und sendet den NTLMv2-Hash des Opfers an den Angreifer, ohne dass das Opfer die Datei öffnen oder ausführen muss.

Allein das Aufrufen des Ordners, in den die Verknüpfung heruntergeladen worden ist, reicht aus, um den Angriff auszulösen.

Diese verbleibende Lücke ist zu CVE-2026-32202 geworden. Microsoft hat sie mit dem April-Patchday am 14. April behoben, sie damals aber fälschlicherweise ohne Hinweis auf eine Ausnutzung markiert. Am 27. April hat Microsoft die Sicherheitsmeldung aktualisiert, den Exploitability Index korrigiert und die aktive Ausnutzung bestätigt. CISA hat die Lücke heute in den KEV-Katalog aufgenommen.

Warum der CVSS-Wert in die Irre führt

CVE-2026-32202 hat einen CVSS-Wert von 4,3 und fällt damit in den mittleren Schweregradbereich. Diese Zahl unterschätzt das tatsächliche Risiko. Der gestohlene NTLMv2-Hash kann bei Relay-Angriffen verwendet werden, um sich auf anderen Systemen im selben Netzwerk als kompromittierter Nutzer zu authentifizieren, oder offline geknackt werden, um das Klartextpasswort wiederherzustellen.

In der Praxis gibt die Angriffskette einem Angreifer damit einen Weg zu lateraler Bewegung und Rechteausweitung, nicht nur zu einer begrenzten Offenlegung von Informationen.

Der Fix ist im kumulativen April-Update 2026 KB5083769 für Windows 11 Version 24H2 und 25H2 enthalten. Das ist dasselbe Update, das derzeit auf einem Teil der HP- und Dell-Systeme Boot-Loops verursacht. Nutzer, die es noch nicht installiert haben, bleiben einem bestätigten Zero-Click-Vektor zum Diebstahl von Anmeldedaten ausgesetzt. Wer bereits vom Boot-Loop-Problem durch KB5083769 betroffen ist, sollte Microsofts Wiederherstellungsanleitung befolgen, bevor das Update installiert wird.

Microsoft erzwingt merkwürdigerweise das Upgrade nicht verwalteter Windows-11-24H2-PCs auf 25H2 vor dem Support-Ende am 13. Oktober, aber KB5083769 versetzt manche Systeme weiterhin in nicht behebbare Boot-Schleifen.