{"id":103845,"date":"2026-04-29T20:53:10","date_gmt":"2026-04-29T20:53:10","guid":{"rendered":"https:\/\/www.europesays.com\/ch-de\/103845\/"},"modified":"2026-04-29T20:53:10","modified_gmt":"2026-04-29T20:53:10","slug":"windows-zero-day-exploit-wird-nachweislich-ausgenutzt","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/ch-de\/103845\/","title":{"rendered":"Windows: Zero-Day-Exploit wird nachweislich ausgenutzt"},"content":{"rendered":"

Eine Windows-Shell-Schwachstelle, die beim Patchday dieses Monats behoben worden ist, wird inzwischen nachweislich aktiv ausgenutzt. CISA hat CVE-2026-32202 heute in seinen Known-Exploited-Vulnerabilities-Katalog aufgenommen und US-Bundesbeh\u00f6rden angewiesen, die L\u00fccke bis zum 12. Mai zu patchen. Die Schwachstelle besteht, weil Microsofts Fix vom Februar 2026 f\u00fcr eine verwandte L\u00fccke eine Authentifizierungsl\u00fccke offen gelassen hat, die Angreifer inzwischen ausgenutzt haben. <\/p>\n

Die urspr\u00fcngliche Schwachstelle, CVE-2026-21510, ist ein Versagen eines Schutzmechanismus der Windows Shell gewesen, das im Dezember 2025 bei Angriffen auf die Ukraine und EU-Staaten ausgenutzt worden ist. Microsoft hat CVE-2026-21510 im Februar gepatcht und die L\u00fccke damals als aktiv ausgenutzt markiert. Was Microsoft dabei nicht gekennzeichnet hat, ist die L\u00fccke, die der Patch offen gelassen hat. <\/p>\n

Wie der unvollst\u00e4ndige Fix eine L\u00fccke offen gelassen hat<\/p>\n

Das Cybersicherheitsunternehmen Akamai hat den Februar-Patch analysiert und festgestellt, dass der Fix zwar die Komponente zur Remote-Code-Ausf\u00fchrung blockiert hat, aber einen Vektor zur Erzwingung einer Authentifizierung offen gelassen hat. Wenn der Windows Explorer einen Ordner rendert, der eine manipulierte LNK-Verkn\u00fcpfungsdatei enth\u00e4lt, l\u00f6st er automatisch jeden UNC-Pfad auf, der in dieser Datei eingebettet ist. F\u00fchrt dieser Pfad zu einem von Angreifern kontrollierten Server, baut Windows eine SMB-Verbindung auf und sendet den NTLMv2-Hash des Opfers an den Angreifer, ohne dass das Opfer die Datei \u00f6ffnen oder ausf\u00fchren muss. <\/p>\n

Allein das Aufrufen des Ordners, in den die Verkn\u00fcpfung heruntergeladen worden ist, reicht aus, um den Angriff auszul\u00f6sen. <\/p>\n

Diese verbleibende L\u00fccke ist zu CVE-2026-32202 geworden. Microsoft hat sie mit dem April-Patchday am 14. April behoben, sie damals aber f\u00e4lschlicherweise ohne Hinweis auf eine Ausnutzung markiert. Am 27. April hat Microsoft die Sicherheitsmeldung aktualisiert, den Exploitability Index korrigiert und die aktive Ausnutzung best\u00e4tigt. CISA hat die L\u00fccke heute in den KEV-Katalog aufgenommen. <\/p>\n

Warum der CVSS-Wert in die Irre f\u00fchrt<\/p>\n

CVE-2026-32202 hat einen CVSS-Wert von 4,3 und f\u00e4llt damit in den mittleren Schweregradbereich. Diese Zahl untersch\u00e4tzt das tats\u00e4chliche Risiko. Der gestohlene NTLMv2-Hash kann bei Relay-Angriffen verwendet werden, um sich auf anderen Systemen im selben Netzwerk als kompromittierter Nutzer zu authentifizieren, oder offline geknackt werden, um das Klartextpasswort wiederherzustellen. <\/p>\n

In der Praxis gibt die Angriffskette einem Angreifer damit einen Weg zu lateraler Bewegung und Rechteausweitung, nicht nur zu einer begrenzten Offenlegung von Informationen. <\/p>\n

Der Fix ist im kumulativen April-Update 2026 KB5083769 f\u00fcr Windows 11 Version 24H2 und 25H2 enthalten. Das ist dasselbe Update, das derzeit auf einem Teil der HP- und Dell-Systeme Boot-Loops verursacht. Nutzer, die es noch nicht installiert haben, bleiben einem best\u00e4tigten Zero-Click-Vektor zum Diebstahl von Anmeldedaten ausgesetzt. Wer bereits vom Boot-Loop-Problem durch KB5083769 betroffen ist, sollte Microsofts Wiederherstellungsanleitung befolgen, bevor das Update installiert wird. <\/p>\n

Microsoft erzwingt merkw\u00fcrdigerweise das Upgrade nicht verwalteter Windows-11-24H2-PCs auf 25H2 vor dem Support-Ende am 13. Oktober, aber KB5083769 versetzt manche Systeme weiterhin in nicht behebbare Boot-Schleifen.<\/p>\n

\"Darryl<\/a><\/p>\n

I\u2019m a tech editor and journalist with more than 20 years of experience covering smartphones, AI, gaming hardware, and emerging technology. I\u2019m passionate about making complex topics clear, engaging, and relevant\u2014especially when they shape how we live, work, and play.
\n
\nI\u2019m also an author with a love for psychological thrillers, horror, and honest, emotionally driven storytelling. My books include Drowning, 3:33 a.m., The Midnight Murderer, Keystrokes of Vengeance, and Life\u2019s Too Short For This Sh!t!.
\n
\nWhether I\u2019m writing about technology or fiction, my goal is always to connect with readers, spark thought, and leave a lasting impression. Inspired by my daughters and shaped by years of media experience, I bring curiosity and purpose to everything I write.<\/p>\n","protected":false},"excerpt":{"rendered":"Eine Windows-Shell-Schwachstelle, die beim Patchday dieses Monats behoben worden ist, wird inzwischen nachweislich aktiv ausgenutzt. CISA hat CVE-2026-32202…\n","protected":false},"author":2,"featured_media":103846,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15],"tags":[887,46,27388,27391,886,888,171,879,881,891,890,43,878,880,889,45,60,59,44,64,61,882,883,885,884,27389,27390,27392,63,62],"class_list":{"0":"post-103845","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-benchmarks","9":"tag-ch","10":"tag-cve-2026-32202-cisa-patch-order","11":"tag-cve-2026-32202-incomplete-patch","12":"tag-forum","13":"tag-grafikkarten","14":"tag-informationen","15":"tag-laptop","16":"tag-laptops","17":"tag-netbook","18":"tag-netbooks","19":"tag-news","20":"tag-notebook","21":"tag-notebooks","22":"tag-prozessoren","23":"tag-schweiz","24":"tag-science","25":"tag-science-technology","26":"tag-switzerland","27":"tag-technik","28":"tag-technology","29":"tag-test","30":"tag-testbericht","31":"tag-testberichte","32":"tag-tests","33":"tag-windows-ntlm-hash-leak-zero-day","34":"tag-windows-shell-exploit-april-2026","35":"tag-windows-zero-click-credential-theft-kb5083769","36":"tag-wissenschaft","37":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@ch_de\/116489977247152220","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/posts\/103845","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/comments?post=103845"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/posts\/103845\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/media\/103846"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/media?parent=103845"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/categories?post=103845"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/tags?post=103845"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}