Ein gibt eine Warnung der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA), dass die Information Disclosure-Schwachstelle CVE-2026-32202 in der Windows Shell nun aktiv angegriffen wird. Angreifer missbrauchen die (im April 2026 geschlossene) Zero-Click-Sicherheitslücke in Windows, um an sensible Daten auf anfälligen Systemen zu gelangen.
Die Windows Shell Spoofing-Schwachstelle CVE-2026-32202
Microsoft hat mit den Sicherheitsupdates vom 14. April 2026 für Windows auch die Windows Shell Spoofing-Schwachstelle CVE-2026-32202 geschlossen. Die mit einem CVSS-Score von 4.3 als Important bezeichnete Schwachstelle wurde zu diesem Zeitpunkt noch als nicht öffentlich bekannt und nicht ausgenutzt bezeichnet.
Die Schwachstelle im Sicherheitsmechanismus der Windows-Shell ermöglicht es einem unbefugten Angreifer, über ein Netzwerk Spoofing-Angriffe durchzuführen. Ein Angreifer müsste dem Opfer eine schädliche Datei senden, die das Opfer ausführen müsste, heißt es bei Microsoft. Ein Angreifer, der die Sicherheitslücke erfolgreich ausnutzt, könnte bestimmte vertrauliche Informationen einsehen.
Entdeckung durch Akamai
Akamai hat die Schwachstelle am 23. April 2026 im Blog-Beitrag A Shortcut to Coercion: Incomplete Patch of APT28's Zero-Day Leads to CVE-2026-32202 detaillierter beschrieben. Deren Sicherheitsforscher stellten fest, dass ein unvollständiger Patch für CVE-2026-21510 (ein APT28-Exploit) eine neue Zero-Click-Sicherheitslücke CVE-2026-32202 verursachte.
Zwar verhinderte der Fix von Microsoft erfolgreich die ursprüngliche Remote-Code-Ausführung (RCE) und die Umgehung von SmartScreen, hinterließ jedoch eine Zero-Click-Sicherheitslücke zur Erzwingung der Authentifizierung (die nun als CVE-2026-32202 klassifiziert ist).
Die Sicherheitsforscher haben den APT28-Exploit (auch bekannt als Fancy Bear) im Januar 2026 entdeckt, und Microsoft hat ihn am Patch Tuesday im Februar 2026 behoben. CVE-2026-21513 und CVE-2026-21510 wurden in derselben LNK-Datei ausgenutzt und waren ein entscheidender Teil der Exploit-Kette.
Anschließend fanden die Sicherheitsforscher einen unvollständigen Patch und meldeten dies an Microsoft. Die neue Schwachstelle, CVE-2026-32202, führte dazu, dass das Opfer den Server des Angreifers ohne Benutzerinteraktion (Zero-Click) authentifizierte.
Die Schwachstelle CVE-2026-32202 wurde gepatcht
Microsoft hat die Schwachstelle mit den Sicherheitsupdates vom 14. April 2026 für Windows (siehe Patchday: Windows 10/11 Updates (14. April 2026) und
Patchday: Windows Server-Updates (14. April 2026)) geschlossen.
Warnung der CISA
Zum 27. April 2026 hat Microsoft in der Beschreibung für CVE-2026-32202 die Hinweise geändert und bestätigt nun, dass die Schwachstelle auf ungepatchten Systemen ausgenutzt wird. Zum 28. April 2026 hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine Warnung vor der Schwachstelle CVE-2026-32202 in ihrem Katalog bekannter und ausgenutzter Schwachstellen aufgenommen. The Register hat in diesem Artikel noch einige Informationen zusammen getragen.
Ähnliche Artikel:
Microsoft Security Update Summary (14. April 2026)
Patchday: Windows 10/11 Updates (14. April 2026)
Patchday: Windows Server-Updates (14. April 2026)
Patchday: Microsoft Office Updates (14. April 2026)
Remote Desktop-Phishing-Schutz im April 2026-Update verursacht Verwirrung
Windows 11 April 2026-Updates (KB5083769, KB5082052) triggern BitLocker Recovery
Windows Server 2025: Update KB5082063 liefert Error 0x800F0983, 0x80073712
Windows Server 2025: Fehler 0x80073712 bei KB5082063 durch Media Player-Sprachpakete
Windows Server 2016-2025: Reboot von Domain Controllern durch April 2026-Update (KB5082063 etc.)
Windows April 2026-Updates verursachen Anmelde-Probleme
Windows Druckerprobleme nach April 2026-Patchday? Universal-Print-Problem
MVP: 2013 – 2016
