Sicherheitsforscher schlagen Alarm: Cyberkriminelle nutzen eine veraltete Windows-Komponente für immer ausgefeiltere Angriffe. Der Microsoft HTML Application Host, kurz MSHTA, dient Hackern als Einfallstor, um Sicherheitsvorkehrungen zu umgehen und Firmennetzwerke zu infiltrieren. Bitdefender-Experten veröffentlichten am Mittwoch eine dringende Warnung – und das ausgerechnet zu einem Zeitpunkt, an dem Microsoft über 100 Schwachstellen in seinem monatlichen Update-Zyklus schließen musste.
Windows 11 macht Probleme? Diese 5 Fehler können Sie ab sofort selbst beheben. Kein IT-Techniker nötig – ein kostenloser Report zeigt, wie es geht. Kostenlosen Hilfe-Report für Windows 11 herunterladen
Wie die Angriffskette funktioniert
Die aktuelle Welle von MSHTA-Angriffen beginnt meist mit sozialer Manipulation. Phishing-E-Mails, gefälschte Software-Downloads und sogenannte „ClickFix“-Aufforderungen dienen als Einstieg. Sobald ein Nutzer darauf hereinfällt, führt MSHTA schädliche Skripte aus, die häufig PowerShell-Befehle nachladen. Das Ergebnis: eine mehrstufige Infektionskette, die Schädlinge wie LummaStealer, Amatera, ClipBanker, CountLoader und den hartnäckigen PurpleFox auf die Systeme bringt.
Das Tückische: MSHTA ist in fast allen Windows-Umgebungen standardmäßig aktiviert. Es handelt sich um ein legitimes Werkzeug zur Ausführung von HTML-Anwendungen – und genau das macht es so gefährlich. Weil es wie ein vertrauenswürdiger Prozess erscheint, bleibt es von herkömmlicher Antiviren-Software oft unentdeckt.
„Die Nutzung von MSHTA erlaubt es Malware, sich effektiv in legitimen Windows-Prozessen zu verstecken“, so die Bitdefender-Analysten. „Das erschwert die Arbeit der Incident-Response-Teams erheblich.“
Microsoft hat bislang keinen Zeitplan für die Entfernung oder Abkündigung des Altlast-Werkzeugs genannt. Administratoren wird daher geraten, ungewöhnliche MSHTA-Aktivitäten zu überwachen – besonders wenn sie aus Browser-Downloads oder unerwarteten E-Mail-Anhängen stammen.
Kritische Zero-Day-Lücken und Patch Tuesday
Die MSHTA-Warnung kommt parallel zu Microsofts Mai-2026-Patchday, der insgesamt 137 Schwachstellen adressierte. Besonders brisant: ein kritischer Pufferüberlauf in Windows Netlogon (CVE-2026-41089) mit einem CVSS-Score von 9,8. Angreifer können damit ohne Benutzerinteraktion SYSTEM-Rechte auf einem Domänencontroller erlangen.
Weitere kritische Korrekturen betrafen eine Schwachstelle zur Remote-Code-Ausführung im Windows DNS-Client sowie ein Problem mit der Berechtigungserweiterung im Microsoft-Entra-ID-Authentifizierungs-Plugin für Jira und Confluence.
Gleichzeitig musste Microsoft Notfall-Maßnahmen für eine Zero-Day-Lücke in der BitLocker-Verschlüsselung veröffentlichen. Die als „YellowKey“ (CVE-2026-45585) bekannte Schwachstelle erlaubt Angreifern mit physischem Zugriff, die Verschlüsselung über die Windows-Wiederherstellungsumgebung (WinRE) zu umgehen. Microsoft empfiehlt betroffenen Organisationen, auf den TPM+PIN-Authentifizierungsmodus umzustellen und den Eintrag „autofstx.exe“ aus der Boot-Konfiguration zu entfernen. Ein dauerhafter Patch ist noch in Entwicklung.
Windows-11-Update bereitet Probleme
Neben den Sicherheitsproblemen kämpft Microsoft mit technischen Hürden beim Mai-Update für Windows 11 (KB5089549). Zahlreiche Nutzer meldeten in der dritten Maiwoche Installationsfehler mit dem Code 0x800f0922. Microsoft bestätigte am 20. Mai, dass die Ursache meist ein zu voller EFI-System-Partition (ESP) ist. Stehen dort weniger als zehn Megabyte frei, kann das Sicherheitsupdate nicht installiert werden.
Als Lösung hat Microsoft Registry-Änderungen zur Anpassung der Partitionsanforderungen beschrieben. Für Organisationen, die keine manuellen Eingriffe vornehmen können, wird ein „Known Issue Rollback“ (KIR) bereitgestellt, der fehlgeschlagene Installationsversuche unterbindet. Einige Nutzer berichteten zudem von schwankenden Internetgeschwindigkeiten nach dem Update – ein Problem, das Microsoft noch untersucht.
Das Update führte außerdem einen neuen „SecureBoot“-Ordner im Windows-Verzeichnis ein. Was zunächst nach Malware aussah, entpuppte sich als legitimer Ordner mit Skripten zur Verwaltung von Secure-Boot-Zertifikaten. Einige dieser Zertifikate laufen im Juni 2026 ab.
So sparen Windows-Nutzer hunderte Euro an IT-Kosten — ganz ohne Vorkenntnisse. Experte Manfred Kratzl erklärt in seinem Gratis-Report, wie Sie Update-Fehler, Druckerprobleme und mehr in Minuten selbst lösen. Gratis-PDF: Erste Hilfe für Windows 11 sichern
Ausblick: Ein herausforderndes Jahr für IT-Abteilungen
Die Kombination aus Altlasten-Exploits, Zero-Day-Lücken in Kernfunktionen wie BitLocker und umfangreichen Patch-Anforderungen zeichnet ein düsteres Bild für IT-Abteilungen im Jahr 2026. Sicherheitsexperten betonen, dass die Zerschlagung von Cyberkriminalitäts-Diensten wie der kürzlich aufgelösten Operation „Fox Tempest“ nur vorübergehende Erleichterung bringt – neue Gruppen übernehmen die vorhandenen Exploits schnell.
Für den restlichen Teil des Jahres empfehlen Analysten, Windows-Umgebungen durch die Deaktivierung unnötiger Altlast-Komponenten zu härten und alle WinRE-basierten Absicherungen für BitLocker anzuwenden. Da Windows 11 Version 24H2 am 13. Oktober 2026 das Ende seines Update-Zyklus erreicht, planen viele Unternehmen bereits den Umstieg auf neuere Betriebssystemversionen, die möglicherweise robustere Schutzmechanismen gegen den Missbrauch von Legacy-Tools bieten.
Die Herausforderung bleibt: die Balance zwischen Abwärtskompatibilität und der dringenden Notwendigkeit, jahrzehntealte Angriffsvektoren im Windows-Ökosystem zu beseitigen.
