Ein gibt eine Warnung der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA), dass die Information Disclosure-Schwachstelle CVE-2026-32202 in der Windows Shell nun aktiv angegriffen wird. Angreifer missbrauchen die (im April 2026 geschlossene) Zero-Click-Sicherheitslücke in Windows, um an sensible Daten auf anfälligen Systemen zu gelangen.
Die Windows Shell Spoofing-Schwachstelle CVE-2026-32202
Microsoft hat mit den Sicherheitsupdates vom 14. April 2026 für Windows auch die Windows Shell Spoofing-Schwachstelle CVE-2026-32202 geschlossen. Die mit einem CVSS-Score von 4.3 als Important bezeichnete Schwachstelle wurde zu diesem Zeitpunkt noch als nicht öffentlich bekannt und nicht ausgenutzt bezeichnet.
Die Schwachstelle im Sicherheitsmechanismus der Windows-Shell ermöglicht es einem unbefugten Angreifer, über ein Netzwerk Spoofing-Angriffe durchzuführen. Ein Angreifer müsste dem Opfer eine schädliche Datei senden, die das Opfer ausführen müsste, heißt es bei Microsoft. Ein Angreifer, der die Sicherheitslücke erfolgreich ausnutzt, könnte bestimmte vertrauliche Informationen einsehen.
Entdeckung durch Akamai
Akamai hat die Schwachstelle am 23. April 2026 im Blog-Beitrag A Shortcut to Coercion: Incomplete Patch of APT28's Zero-Day Leads to CVE-2026-32202 detaillierter beschrieben. Deren Sicherheitsforscher stellten fest, dass ein unvollständiger Patch für CVE-2026-21510 (ein APT28-Exploit) eine neue Zero-Click-Sicherheitslücke CVE-2026-32202 verursachte.
Zwar verhinderte der Fix von Microsoft erfolgreich die ursprüngliche Remote-Code-Ausführung (RCE) und die Umgehung von SmartScreen, hinterließ jedoch eine Zero-Click-Sicherheitslücke zur Erzwingung der Authentifizierung (die nun als CVE-2026-32202 klassifiziert ist).
Die Sicherheitsforscher haben den APT28-Exploit (auch bekannt als Fancy Bear) im Januar 2026 entdeckt, und Microsoft hat ihn am Patch Tuesday im Februar 2026 behoben. CVE-2026-21513 und CVE-2026-21510 wurden in derselben LNK-Datei ausgenutzt und waren ein entscheidender Teil der Exploit-Kette.
Anschließend fanden die Sicherheitsforscher einen unvollständigen Patch und meldeten dies an Microsoft. Die neue Schwachstelle, CVE-2026-32202, führte dazu, dass das Opfer den Server des Angreifers ohne Benutzerinteraktion (Zero-Click) authentifizierte.
Die Schwachstelle CVE-2026-32202 wurde gepatcht
Microsoft hat die Schwachstelle mit den Sicherheitsupdates vom 14. April 2026 für Windows (siehe Patchday: Windows 10/11 Updates (14. April 2026) und
Patchday: Windows Server-Updates (14. April 2026)) geschlossen.
Warnung der CISA
Zum 27. April 2026 hat Microsoft in der Beschreibung für CVE-2026-32202 die Hinweise geändert und bestätigt nun, dass die Schwachstelle auf ungepatchten Systemen ausgenutzt wird. Zum 28. April 2026 hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine Warnung vor der Schwachstelle CVE-2026-32202 in ihrem Katalog bekannter und ausgenutzter Schwachstellen aufgenommen. The Register hat in diesem Artikel noch einige Informationen zusammen getragen.
Ähnliche Artikel:
Microsoft Security Update Summary (14. April 2026)
Patchday: Windows 10/11 Updates (14. April 2026)
Patchday: Windows Server-Updates (14. April 2026)
Patchday: Microsoft Office Updates (14. April 2026)
Remote Desktop-Phishing-Schutz im April 2026-Update verursacht Verwirrung
Windows 11 April 2026-Updates (KB5083769, KB5082052) triggern BitLocker Recovery
Windows Server 2025: Update KB5082063 liefert Error 0x800F0983, 0x80073712
Windows Server 2025: Fehler 0x80073712 bei KB5082063 durch Media Player-Sprachpakete
Windows Server 2016-2025: Reboot von Domain Controllern durch April 2026-Update (KB5082063 etc.)
Windows April 2026-Updates verursachen Anmelde-Probleme
Windows Druckerprobleme nach April 2026-Patchday? Universal-Print-Problem
MVP: 2013 – 2016
Ich kann mir gut vorstellen wie MS den ersten Patch erstellt hat.
MS: "Copilot, erstelle einen Patch zum beheben der Sicherheitlücke."
Copilot: "Gut das du fragst. Da ist wirklich ein schwerer Fehler. ich werde dir aufzeigen wo der Fehler liegt und einen Patch erstellen der GARANTIERT fehlerfrei ist"
*******************************************
und bestätigt nun, dass die Schwachstelle auf ungepatchten Systemen ausgenutzt wird.
*******************************************
Naja ist ja irrelevant, die Lücke wurde ja geschlossen, angegriffen werden noch ungepatche Systeme und die scheint es noch in Massen zu geben. Das ist aber keinMS Fehler, sondern ein Anwenderfehler! Wer seine Systeme halt nicht updated oder andersweitig selbst sichert… no mercy, möge der Schaden maximal sein.
Es gab durchaus Leute, bei denen das Update nicht installiert werden kann / konnte – daher ist der Kommentar mit "no mercy" a bisserl platt. Der Beitrag hatte das Ziel, betreffende Leser an den Punkt zu erinnern. Just my 2 Cent.
Die typische dumme und uninformierte Stammtischpolemik wieder mal. War ja auch irgendwie nicht anders zu erwarten.
Gut, dass es durch Günther Born richtig gestellt wurde – schlecht, dass du anscheinend aber auch gar nichts dazu lernst.
Also manchmal verstehe ich Deine Kommentare nicht. Du meinst auch, daß außer Dir anscheinend andere unfähig sind.
Und wie Günter schon richtig angemerkt hat:
Es gibt Systeme, wo der Patch nicht installiert werden könnte. Hier gehe ich davon aus, daß dann die Admins bzw. die Anwender sich informieren, was die Ursache ist, daß der Patch sich nicht installieren lässt.
Es gibt da draussen echt miese Sachen wie der Lieferkettenangriff über npm & Co.; die EV Zertifikate gestohlen etc. DriveBy Angriffe etc. da hast du es als Admin wirklich schwer… aber Phishing; nicht einspielen von Patches (und sich wenn sie sich den nicht installieren lassen, nicht drum kümmern warum oder andersweitige Absichern. MS Updates sind nicht der einzige Weg) gehört nunmal nicht dazu!
Das hast du einfach selbst zu verantworten, denn das ist vermeidbar!
Und zwar mit dem "Kleinen Einmaleins der IT". Wer das nicht beherrscht ist im falschen Job!
Aber ich weis schon: das möchte eben keine hören. Schuld sind immer andere! 2026 IT at it best…
Dem ist aber nicht so.
@Luzifer: Ich bewundere Deine Energie und Kraft, sich für die "gute" Sache einzusetzen. Meine Aussage ist keine Ironie. Nicht jeder hat diesen Willen und die geistige Fähigkeiten im gleichen Maße. Unterstellt jeder IT-Admin hat 100 % Kraft für die von Dir genannten Maßnahmen zur Verfügung. Dann werden diese 100 % IMHO durch folgende Dinge aufgebraucht. Bei Dir scheint das nicht der Fall zu sein:
– Bürokratie
– unsinnige Management-Entscheidungen in einem hierarchischen Umfeld
– Geringe Wertschätzung und dauernde Anzweifelung der Leistung/des Urteils des IT-lers
– Nutzen des eigenen Einsatzes kommt ausschließlich dem besitzenden "Kapitalisten" zu gute.
– menschenunwürdige Führung/"Ausbeutung".
– das Gefühl gegen Windmühlenflügel zu kämpfen – der IT-Admin muss alle 1.000.000 Lücken schließen, dem Attacker genügt genau eine Lücke, die er findet.
– man selbst zeigt Einsatz, der Schlendrian-IT-Kollege lässt sich sein Passwort klauen –> eigener Einsatz für die Katz'
"möge der Schaden maximal sein" ist sehr sehr tief angesetzt.
Ich hoffe Dir gehts ansonsten aber gut.
Manche lernen ja nur aus Schaden! Solche Firmen gefährden auch dich und mich, also weg damit, je schneller, umso besser.
Hört sich hart an, aber wer hat behauptet, dass das Leben fair sei?
Die Produkthaftung in der IT hat sich ja noch nicht wirklich durchgesetzt und existiert maximal nur auf dem Papier.
Kannst dich warm anziehen, wenn sich das ändert und du für den Schaden aus der Lieferkette haften darfst.
Da helfen dann auch keine Ausreden mehr wie: „Aber der andere ist schuld!"
Heutzutage gibt es ganze Produktzweige in der Softwareindustrie und Kaufentscheidungen dafür, um an irgendwas, was dann trotzdem noch eintritt, nur nicht selbst schuld zu sein, sondern auf "aber wir haben extra dafür dies das Produkt mit Zertifikat XYZ gekauft, kann man nichts machen" zu schieben. Die Sicherheit an sich tritt dabei oft in den Hintergrund. Leider.
Naja, bei manchen Firmen werden Patches erst in einer isolierten Testumgebung getestet, ob die irgendwelche Auswirkungen auf die Software, Systemumgebung etc. haben.
Und erst wenn diese Tests dann positiv ausgehen, werden die Patches in der Liveumgebung installiert.
Und oft dauern diese Tests mehrere Tage bis Wochen.
Eine Betriebsstörung wegen eines Patches können sich die Firmen schlicht nicht erlauben, denn dann steht die Firma.
Korrekt. Wer ungetestet Patches in Live Systeme einspielt, sollte über Jobwechsel nachdenken.