{"id":109007,"date":"2026-05-03T23:01:15","date_gmt":"2026-05-03T23:01:15","guid":{"rendered":"https:\/\/www.europesays.com\/ch-de\/109007\/"},"modified":"2026-05-03T23:01:15","modified_gmt":"2026-05-03T23:01:15","slug":"staatshacker-umgehen-smartscreen-ohne-mausklick","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/ch-de\/109007\/","title":{"rendered":"Staatshacker umgehen SmartScreen ohne Mausklick"},"content":{"rendered":"

Eine kritische Zero-Click-L\u00fccke in Windows umgeht den SmartScreen-Schutz und wird bereits von APT28 gegen EU-Regierungen genutzt.<\/p>\n

Der Fehler mit der Kennung CVE-2026-32202 erlaubt Angreifern, den SmartScreen-Schutz zu umgehen \u2013 und das ganz ohne Benutzerinteraktion. Microsoft hat zwar im April 2026 einen Patch ver\u00f6ffentlicht, doch die Schadsoftware ist bereits im Umlauf.<\/p>\n

Anzeige<\/p>\n

Viele Windows-Nutzer z\u00f6gern beim Wechsel auf Windows 11 \u2013 aus diesem einen Grund. Ein kostenloser Expertenreport zeigt, wie der Umstieg ohne Risiko und Datenverlust gelingt. Windows 11 Starterpaket jetzt kostenlos anfordern<\/a><\/p>\n

Angriffskette: Wie die Zero-Click-L\u00fccke funktioniert<\/p>\n

Die technische Analyse von CVE-2026-32202 offenbart eine Angriffskette, die auf die Art und Weise zielt, wie Windows mit sogenannten LNK-Dateien (Verkn\u00fcpfungen) umgeht. Sicherheitsforscher sehen darin eine unvollst\u00e4ndige Behebung eines fr\u00fcheren Fehlers (CVE-2026-21510). Die urspr\u00fcngliche L\u00fccke erm\u00f6glichte die Ausf\u00fchrung von Schadcode aus der Ferne. Die Nachbesserungen hinterlie\u00dfen jedoch ein Schlupfloch f\u00fcr die Umgehung der Authentifizierung.<\/p>\n

Der aktuelle Exploit erm\u00f6glicht einen \u201eZero-Click\u201c-Angriff. Das bedeutet: Das Opfer muss nicht einmal auf einen Link klicken oder eine Datei \u00f6ffnen. Sobald das System die manipulierte LNK-Datei verarbeitet, l\u00f6st die Schwachstelle automatisch einen NTLM-Authentifizierungsversuch aus. Der Angreifer kann dabei die sogenannten NTLM-Hashes abfangen \u2013 kryptografische Abbilder der Passw\u00f6rter. Mit diesen Hashes lassen sich entweder \u201ePass-the-Hash\u201c-Angriffe durchf\u00fchren oder die Passw\u00f6rter per Brute-Force entschl\u00fcsseln.<\/p>\n

Besonders brisant: SmartScreen soll genau solche Angriffe verhindern. Die Funktion warnt Nutzer, bevor sie unbekannte oder potenziell gef\u00e4hrliche Anwendungen ausf\u00fchren. Durch die Umgehung dieser Schutzschicht steigt die Wahrscheinlichkeit eines erfolgreichen Einbruchs massiv.<\/p>\n

APT28 zielt auf europ\u00e4ische Regierungen<\/p>\n

Die Sicherheitsl\u00fccke ist keine theoretische Gefahr \u2013 sie wird bereits aktiv ausgenutzt. Sicherheitsforscher f\u00fchren die Angriffe auf die Gruppe APT28 zur\u00fcck, auch bekannt als Fancy Bear. Dieses Kollektiv wird mit russischen Geheimdiensten in Verbindung gebracht. Die Gruppe nutzt die Schwachstelle seit Dezember 2025, um europ\u00e4ische Regierungsinstitutionen anzugreifen.<\/p>\n

Der Fokus auf EU-Ziele deutet auf eine strategische Ausrichtung hin. Die Angreifer setzen auf Zero-Day- oder k\u00fcrzlich gepatchte Schwachstellen, um unter dem Radar zu bleiben. IT-Sicherheitsteams erhalten durch die Umgehung von SmartScreen keine typischen Warnmeldungen mehr.<\/p>\n

Die US-Beh\u00f6rde CISA hat die Schwachstelle in ihren Katalog bekannter ausgenutzter Sicherheitsl\u00fccken aufgenommen. Hinzu kommen weitere kritische Fehler: Die Linux-L\u00fccke CVE-2026-31431 (\u201eCopy Fail\u201c) erm\u00f6glicht eine lokale Rechteausweitung auf Root-Ebene. Und eine Schwachstelle in cPanel und WHM (CVE-2026-41940) mit einem CVSS-Score von 9,3 wird seit Februar 2026 aktiv ausgenutzt \u2013 Sch\u00e4tzungen zufolge sind bereits 44.000 IP-Adressen kompromittiert.<\/p>\n

Defender-Chaos: Fehlalarm legt Zertifikatsvertrauen lahm<\/p>\n

Parallel zur SmartScreen-L\u00fccke sorgte ein schwerwiegender Fehler bei Microsoft Defender f\u00fcr Aufsehen. Ab dem 30. April 2026 begann das Antivirenprogramm, legitime DigiCert-Root-Zertifikate f\u00e4lschlicherweise als Trojaner zu identifizieren. Die Folge: Defender entfernte die Zertifikate aus der Windows-AuthRoot-Registrierungsdatenbank.<\/p>\n

Die L\u00f6schung f\u00fchrte zu sofortigen Ausf\u00e4llen bei SSL\/TLS-Validierungen und Code-Signierungspr\u00fcfungen. Zahlreiche Anwendungen und sichere Webseiten funktionierten nicht mehr. Der Vorfall steht im Zusammenhang mit einem separaten Sicherheitsvorfall bei DigiCert im April 2026, bei dem Unbefugte Initialisierungscodes f\u00fcr Code-Signierungszertifikate erlangten. DigiCert widerrief daraufhin 60 Zertifikate \u2013 27 davon wurden in einer Malware-Kampagne mit dem Sch\u00e4dling \u201eZhong-Stealer\u201c eingesetzt.<\/p>\n

Microsoft ver\u00f6ffentlichte einen Fix mit Defender-Version 1.449.430.0 am 3. Mai 2026. Der Vorfall wirft jedoch Fragen zur Zuverl\u00e4ssigkeit automatisierter Sicherheitsma\u00dfnahmen auf. Tests von Branchenmagazinen zeigten zudem, dass Defender im Phishing-Schutz mit einer Erkennungsrate von 75 Prozent hinter Konkurrenzprodukten zur\u00fcckbleibt (95 Prozent).<\/p>\n

Anzeige<\/p>\n

Genervt von Windows-Fehlermeldungen und Zwangs-Updates? Das kostenlose Linux-Startpaket zeigt Schritt f\u00fcr Schritt, wie Sie Ubuntu parallel zu Windows installieren \u2013 ohne Risiko und ohne Datenverlust. Ubuntu-Vollversion im Gratis-Startpaket sichern<\/a><\/p>\n

Bedrohungslage: Wenn Sicherheitsinfrastruktur zur Waffe wird<\/p>\n

Die gleichzeitige Krise zeigt ein grundlegendes Problem: Vertrauensmanagement wird immer komplexer. Der Exploit von APT28 beweist, dass selbst Kernkomponenten wie SmartScreen angreifbar sind, wenn die zugrunde liegende Dateiverarbeitungslogik fehlerhaft ist. Der DigiCert-Vorfall wiederum zeigt, dass die Infrastruktur, die Sicherheit gew\u00e4hrleisten soll \u2013 digitale Zertifikate und Antiviren-Signaturen \u2013 selbst zur Instabilit\u00e4t f\u00fchren kann.<\/p>\n

F\u00fcr Unternehmen liegt das Hauptrisiko in der Offenlegung von Anmeldedaten. Mit gestohlenen NTLM-Hashes lassen sich in manchen Konfigurationen Multi-Faktor-Authentifizierungen umgehen oder Berechtigungen innerhalb einer Windows-Dom\u00e4ne ausweiten. Die Beteiligung staatlicher Gruppen deutet auf einen hohen Geheimdienstwert der angegriffenen Daten hin.<\/p>\n

Die \u201eSnow\u201c-Malware-Kampagne zeigt zudem, dass technische Schwachstellen oft mit Social Engineering kombiniert werden. Gruppen wie UNC6692 nutzen Microsoft Teams, um sich als IT-Support auszugeben \u2013 nachdem sie ihre Opfer mit E-Mail-Bombardements \u00fcberflutet haben.<\/p>\n

Ausblick: Handlungsdruck f\u00fcr Unternehmen<\/p>\n

Bis zu den CISA-Fristen Anfang und Mitte Mai 2026 m\u00fcssen Unternehmen ihre Patch-Management-Zyklen \u00fcberpr\u00fcfen. Die Frist f\u00fcr den cPanel-Fehler lief am 3. Mai ab, die Linux-Kernel-L\u00fccke muss bis zum 15. Mai geschlossen sein. Zero-Click-Exploits wie CVE-2026-32202 machen deutlich: Traditionelle Schulungen reichen nicht mehr aus, um die erste Phase eines Einbruchs zu verhindern.<\/p>\n

Microsoft hat Anfang Mai dynamische Updates f\u00fcr Windows 11 ver\u00f6ffentlicht \u2013 darunter KB5083991 und KB5084812, die die Stabilit\u00e4t der Windows-Wiederherstellungsumgebung verbessern und Sicherheitswarnungen f\u00fcr Remotedesktop angehen.<\/p>\n

F\u00fcr IT-Administratoren steht fest: Defender muss mindestens auf Version 1.449.430.0 aktualisiert sein, um die Zertifikatsprobleme zu beheben. Alle Systeme ben\u00f6tigen die April-Sicherheitsupdates, um die SmartScreen-L\u00fccke zu schlie\u00dfen. Experten empfehlen zudem, ungew\u00f6hnlichen NTLM-Datenverkehr zu \u00fcberwachen und zus\u00e4tzliche Phishing-Schutzschichten zu implementieren.<\/p>\n","protected":false},"excerpt":{"rendered":"Eine kritische Zero-Click-L\u00fccke in Windows umgeht den SmartScreen-Schutz und wird bereits von APT28 gegen EU-Regierungen genutzt. Der Fehler…\n","protected":false},"author":2,"featured_media":109008,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15],"tags":[27122,46,28359,28356,45,60,59,28355,28358,28354,44,64,61,558,28353,63,62,28357],"class_list":{"0":"post-109007","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-apt28","9":"tag-ch","10":"tag-eu-regierungen","11":"tag-mausklick","12":"tag-schweiz","13":"tag-science","14":"tag-science-technology","15":"tag-smartscreen","16":"tag-smartscreen-schutz","17":"tag-staatshacker","18":"tag-switzerland","19":"tag-technik","20":"tag-technology","21":"tag-windows","22":"tag-windows-sicherheitskrise","23":"tag-wissenschaft","24":"tag-wissenschaft-technik","25":"tag-zero-click-luecke"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@ch_de\/116513130173306603","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/posts\/109007","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/comments?post=109007"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/posts\/109007\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/media\/109008"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/media?parent=109007"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/categories?post=109007"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/tags?post=109007"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}