Die Verwaltungskonsole von Windows wurde zum Haupteinfallstor für Hacker-Angriffe – trotz verfügbarer Patches. Jahresrückblicke der Cybersicherheitsbranche zeigen ein alarmierendes Bild: Die Schwachstelle „MSC EvilTwin“ und ihre Varianten dominierten die Bedrohungslandschaft und wurden vor allem von russischen Angreifern gnadenlos ausgenutzt.
Jahresbilanz: MMC als „Achillesferse“ der IT-Sicherheit
Analysten stufen die Microsoft Management Console (MMC) als größtes Sicherheitsrisiko für Windows-Unternehmensnetzwerke im Jahr 2025 ein. Das geht aus einem umfassenden Jahresrückblick hervor, den CSO Online heute veröffentlichte. Die kritische Lücke CVE-2025-26633, im März von Microsoft gepatcht, blieb das ganze Jahr über ein beliebtes Angriffsziel. Hacker passten ihre Methoden einfach an, um die Sicherheitsupdates zu umgehen.
Der Bericht „Patch Tuesday 2025 Roundup“ führt den „MSC EvilTwin“-Exploit als eines der bedeutendsten Sicherheitsereignisse des Jahres auf. Mehrere Bedrohungsakteure nutzten ihn, um Backdoors und Datendiebe einzuschleusen. Die Allgegenwart der MMC in Firmenumgebungen machte sie zum perfekten Ziel: Angreifer konnten sich im legitimen Administrationsverkehr verstecken.
Passend zum Thema IT‑Security: Jahresrückblicke wie dieser machen deutlich, dass Patches allein nicht reichen – Angreifer adaptieren Exploits und nutzen Social Engineering, um vertrauenswürdige Admin‑Tools zu kompromittieren. Ein kostenloses E‑Book fasst die wichtigsten Bedrohungen 2025 zusammen (inkl. MSC EvilTwin), zeigt praxisnahe Erkennungsregeln und Sofortmaßnahmen für Administratoren und erklärt, wie Sie Zero‑Trust‑Prinzipien schrittweise umsetzen. Ideal für IT‑Leiter, die ihre Infrastruktur kurzfristig härten wollen. Gratis Cyber‑Security‑Guide herunterladen
So funktioniert der „MSC EvilTwin“-Angriff
Der Kern des Problems ist die Schwachstelle CVE-2025-26633. Sie ermöglicht es Angreifern, Sicherheitsfunktionen zu umgehen, indem sie den Pfad für mehrsprachige Benutzeroberflächen (MUI) innerhalb des MMC-Frameworks manipulieren.
Die Methode ist tückisch: Hacker platzieren eine bösartige .msc-Datei neben einer legitimen. Versucht ein Administrator, die vertrauenswürdige Konsole zu öffnen, lädt die Sicherheitslücke versehentlich die schädliche Datei. Diese führt dann beliebigen Code mit den Rechten des Benutzers aus. Der Clou: Der Angriff missbraucht eine vertrauenswürdige Windows-Komponente (mmc.exe) und umgeht so Standard-Erkennungsmechanismen.
Laut den heutigen Berichten wurde der Exploit häufig per Phishing verbreitet. Die Angriffe tarnten sich als IT-Support-Tickets oder Compliance-Dokumente und spielten mit dem Vertrauen in administrative Dateiformate.
Russische Hackergruppe „Water Gamayun“ nutzte Lücke intensiv
Ein Großteil der Angriffe wird der russisch ausgerichteten Hackergruppe Water Gamayun zugeschrieben. Der Akteur, auch als EncryptHub bekannt, nutzte die MMC-Schwachstelle aggressiv, um Unternehmen aus Finanzwesen, Telekommunikation und Verteidigung zu infiltrieren.
Die Kampagnen zeichneten sich durch hoch entwickelte Schadsoftware aus:
* SilentPrism: Ein tarnfähiger Backdoor für langfristigen Zugriff.
* DarkWisp: Ein Tool zur seitlichen Bewegung in kompromittierten Netzwerken.
* Rhadamanthys: Ein Infostealer zum Ausspähen von Zugangsdaten.
Die Gruppe passte ihre Taktik nach dem März-Patch blitzschnell an. Sie verwendete neue Verschleierungsmethoden und manipulierte vertrauenswürdige Verzeichnisse, um die Updates zu umgehen. Diese Anpassungsfähigkeit stellte Verteidiger monatelang vor massive Probleme.
Branche fordert Paradigmenwechsel
Die anhaltenden MMC-Angriffe lassen Sicherheitsexperten laut über ein neues Sicherheitskonzept für Verwaltungstools nachdenken. Die Jahresbilanz zeigt: Sich allein auf Patch-Management zu verlassen, reicht nicht mehr aus, wenn Angreifer logische Fehler in Legacy-Komponenten finden.
Analysten prophezeien für 2026 einen Shift hin zu Zero-Trust-Administrationsmodellen. Der Einsatz veralteter Konsolen wie der MMC könnte zugunsten moderner, cloudbasierter Management-Oberflächen eingeschränkt werden. Die Erfolgsgeschichte von „MSC EvilTwin“ wird wohl Nachahmer anlocken, die andere vertrauenswürdige Windows-Tools ins Visier nehmen.
Die Botschaft an IT-Teams ist klar: Die Ära, in der interne Admin-Tools per se als sicher galten, ist vorbei. Unternehmen sollten dringend ihren Umgang mit .msc-Dateien überprüfen, den „Autor-Modus“ in der MMC einschränken und wachsam gegenüber Social-Engineering-Angriffen bleiben, die diese mächtigen Systemkomponenten ausnutzen.
Warnung bleibt bestehen
Zwar wurde in den letzten Stunden des Jahres 2025 keine neue Zero-Day-Lücke in der MMC bekannt. Doch die heutigen Rückblick-Berichte sind eine deutliche Warnung. Die „lange Nachwirkung“ von CVE-2025-26633 bedeutet: Ungepatchte oder falsch konfigurierte Systeme sind weiterhin angreifbar.
Administratoren wird dringend geraten, die Installation aller kumulativen Updates von 2025 zu überprüfen. Zudem sollten sie ihre Erkennungsregeln für abnormales mmc.exe-Verhalten überprüfen, bevor sie ins Jahr 2026 starten. Die Gefahr lauert weiterhin in den scheinbar vertrauten Werkzeugen des Alltags.
Übrigens: Da der Bericht Phishing als häufigen Verbreitungsweg nennt, sollten Sie jetzt Mitarbeiter, Erkennungsregeln und Notfallprozesse prüfen. Der kostenlose Leitfaden bietet eine 4‑Schritte‑Strategie gegen Phishing, Checklisten zur Überwachung von ungewöhnlichem mmc.exe‑Verhalten und konkrete Empfehlungen zur Absicherung von Verwaltungskonsolen. Nutzen Sie die praxisnahen Vorlagen, um Angriffsvektoren schnell zu schließen. Gratis Cyber‑Security‑Guide herunterladen
