Microsoft warnt vor der aktiven Ausnutzung einer frisch entdeckten Schwachstelle in der hauseigenen E-Mail-Infrastruktur. Die als CVE-2026-42897 identifizierte Spoofing-Lücke betrifft Exchange Server 2016, 2019 und die Server Edition (SE) – und wird bereits von Angreifern genutzt.
Angesichts der rasanten Zunahme von Angriffen auf IT-Infrastrukturen ist die Absicherung des eigenen Rechners wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie mit gezielten Maßnahmen die Sicherheit Ihres Betriebssystems deutlich erhöhen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Exchange Online bleibt vom Angriff verschont. Der CVSS-Schweregrad von 8,1 verdeutlicht jedoch die Dringlichkeit: Microsoft hat über den Exchange Emergency Mitigation (EM)-Dienst Notfallmaßnahmen bereitgestellt, während ein permanenter Patch noch in Entwicklung ist.
Angriffswelle trifft auf Rekord-Patchday
Die Offenlegung des Outlook Web Access (OWA)-Exploits folgt auf den umfangreichen Mai-Patchday vom 12. Mai. Damals schloss Microsoft 138 Schwachstellen, darunter 30 als kritisch eingestufte. Die Gesamtzahl der in den ersten fünf Monaten 2026 identifizierten CVEs hat bereits die Marke von 500 überschritten – ein Tempo, das Branchenanalysten auf den zunehmenden Einsatz künstlicher Intelligenz in der Sicherheitsforschung zurückführen. Allein 16 der in diesem Monat behobenen Lücken wurden von einem spezialisierten KI-System namens MDASH entdeckt.
Besonders brisant: Zwei Schwachstellen mit CVSS-Werten von 9,8 wurden als Remote Code Execution (RCE)-Lücken eingestuft. CVE-2026-41096 betrifft den DNS-Client aller Windows-Geräte aufgrund eines Heap-basierten Pufferüberlaufs. CVE-2026-41089 ist eine „wurmfähige“ Sicherheitslücke im Netlogon-Dienst, die gezielt Domain-Controller angreift. Sicherheitsexperten raten, zuerst Domain-Controller und DNS-abhängige Systeme zu patchen, bevor die übrige Infrastruktur wie SharePoint an die Reihe kommt. Die Azure-DevOps-Umgebung erhielt mit CVE-2026-42826 sogar die Höchstbewertung von 10,0.
Zero-Day-Exploits knacken BitLocker und Privilegien
Am 14. Mai veröffentlichte ein Forscher unter dem Pseudonym ‚Nightmare-Eclipse‘ den Exploit ‚YellowKey‘, der die standardmäßigen BitLocker-Schutzmechanismen von Windows 11 und Windows Server 2022/2025 umgeht. Die Schwachstelle nutzt eine benutzerdefinierte Ordnerstruktur und Transactional NTFS (FsTx), um über einen USB-Anschluss innerhalb von Sekunden vollständigen Zugriff auf verschlüsselte Laufwerke zu erhalten. Die Sicherheitsforscher Kevin Beaumont und Will Dormann haben die Wirksamkeit des Exploits bestätigt, der vor allem TPM-only-Konfigurationen betrifft.
Parallel dazu wurde der Exploit ‚GreenPlasma‘ veröffentlicht, der eine Privilegienausweitung über den CTFMON-Dienst ermöglicht. Ältere Systeme mit Windows 10 sind vom YellowKey-Bypass nicht betroffen. Da Microsoft noch keinen offiziellen Patch für diese Zero-Days bereitstellt, empfehlen Sicherheitsexperten die Einrichtung von BitLocker-PINs und robusten BIOS-Passwörtern, um physische Zugriffsrisiken zu minimieren.
Staatlich gesteuerte APT-Kampagnen auf dem Vormarsch
Die OWA-Ausnutzung fällt in eine phase erhöhter Aktivität fortgeschrittener Bedrohungsgruppen (APTs). Die mit China in Verbindung gebrachte Gruppe Salt Typhoon führte zwischen Dezember 2025 und Februar 2026 eine Kampagne gegen Öl- und Gasunternehmen in Aserbaidschan durch. Dabei kamen der ProxyNotShell-Exploit sowie die Schadsoftware Deed RAT und der TernDoor-Backdoor zum Einsatz.
Professionelle Cyberkriminelle nutzen zunehmend komplexe Strategien, um Sicherheitsmechanismen zu umgehen und Firmennetzwerke zu infiltrieren. Ein kostenloser Experten-Report liefert Ihnen das nötige Wissen, um neue Bedrohungen frühzeitig zu erkennen und proaktiv abzuwehren. Aktuelle Cyber-Security-Trends jetzt kostenlos lesen
Eine weitere Gruppe namens Twill Typhoon ist seit September 2025 im asiatisch-pazifischen Raum aktiv. Die bis April 2026 andauernde Kampagne nutzte ein ausgeklügeltes FDMTP-RAT-Framework (Version 3.2.5.1) und setzte auf DLL-Seitenladung durch legitime Binärdateien von Visual Studio und Sogou Pinyin. Analysen von Darktrace zeigen, dass Twill Typhoon erfolgreich die Infrastruktur von Apple- und Yahoo-Content-Delivery-Netzwerken (CDN) imitierte – mit Domains wie „icloud-cdn.net“ und „yahoo-cdn.it.com“.
Auf russischer Seite hat die mit dem FSB Center 16 verbundene Gruppe Secret Blizzard ihre Kazuar-Malware zu einem stealthigen Peer-to-Peer (P2P)-Botnetz weiterentwickelt. Das modulare System umfasst Kernel- und Worker-Module, die Keylogging, Screenshot-Erfassung und Dateiexfiltration ermöglichen und über einen „Leader“-Knoten verschlüsselte Kommunikation koordinieren.
Milliarden-Schäden durch mobile Cyberkriminalität
Die technischen Schwachstellen spiegeln sich in den steigenden finanziellen Schäden durch Cyberkriminalität wider. Mobile Cyberdelikte werden 2026 voraussichtlich rund 442 Milliarden Euro an globalen Schäden verursachen. Daten zeigen, dass 88 Prozent der Opfer direkte finanzielle Verluste erleiden – und „Quishing“ (QR-Code-Phishing) im ersten Quartal 2026 um 150 Prozent auf 18 Millionen gemeldete Vorfälle zugenommen hat.
In Deutschland stieg die Betroffenheitsrate der Internetnutzer im Vergleich zum Vorjahr um sieben Prozent. Online-Shopping-Betrug und unbefugter Kontozugriff sind die häufigsten Delikte. Als Reaktion führen die großen Plattformanbieter neue Sicherheitsmaßnahmen ein: Googles Android 17 wird voraussichtlich „Theft Detection Lock“ und „Verified Financial Calls“ enthalten, während Apples iOS 26.5 bereits über 60 Schwachstellen geschlossen hat, darunter CVE-2026-28951. Auch Finanzinstitute verschärfen die Sicherheitsprotokolle: Die Sparkasse Köln Bonn schränkte am 15. Mai die Kontofunktionen für 2.000 russische und weißrussische Kunden ein – basierend auf dem 19. EU-Sanktionspaket.
Ausblick: Zwei-Faktor-Authentifizierung und Secure-Boot-Ablauf
Für Unternehmen zeichnen sich mehrere kritische Fristen ab. Am 28. Mai 2026 führen mehrere Finanzinstitute die verpflichtende Zwei-Faktor-Authentifizierung (2FA) ein. Ähnliche Sicherheitsverbesserungen integrieren Verbraucheranwendungen: WhatsApp testet derzeit in seiner Android-Beta (Version 2.26.7.8) ein neues Passwort-Feature, das für neue Geräte-Anmeldungen einen alphanumerischen Code mit 6 bis 20 Zeichen verlangt.
Systemadministratoren müssen sich auf ein großes Infrastruktur-Ereignis am 26. Juni 2026 vorbereiten, wenn mehrere Secure-Boot-Zertifikate auslaufen. Dies könnte Systemstartprozesse beeinträchtigen, wenn nicht rechtzeitig gegengesteuert wird. Das BSI warnt zudem vor ausgeklügeltem „Captcha-Betrug“, der im Mai 2026 auf Plattformen wie Mastodon auftaucht: Malware imitiert Sicherheitsabfragen, um Nutzer zur Ausführung von Tastaturkürzeln zu verleiten, die Schadcode installieren. Experten betonen: Die Kombination aus KI-gesteuerter Bedrohungsentdeckung und der rasanten Evolution von P2P-Botnetzen erfordert für den Rest des Jahres einen proaktiven, mehrschichtigen Ansatz für Identitätsmanagement und Hardware-Sicherheit.
