Die US-Cybersicherheitsbehörde CISA hat alle Bundesbehörden angewiesen, eine kritische Sicherheitslücke in Windows sofort zu schließen. Die bereits aktiv ausgenutzte Schwachstelle ermöglicht Angreifern den Zugriff auf geschützte Speicherbereiche und untergräbt grundlegende Sicherheitsvorkehrungen des Betriebssystems.
Aktive Ausnutzung zwingt zu Eilaktion
Die Direktive der Cybersecurity and Infrastructure Security Agency (CISA) gilt verbindlich für alle zivilen US-Bundesbehörden. Sie müssen die als CVE-2026-20805 bekannte Zero-Day-Lücke im Windows Desktop Window Manager (DWM) bis zum 3. Februar 2026 patchen. Die Lücke wird bereits aktiv in der Wildnis ausgenutzt, wie Microsofts eigene Threat Intelligence bestätigte. CISA drängt auch private Unternehmen und andere öffentliche Organisationen dringend, das Update prioritär einzuspielen.
Passend zum Thema Schwachstellen und Notfall-Patches: Das kostenlose E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen, Post‑Compromise‑Strategien und konkrete Schutzmaßnahmen kompakt zusammen. IT‑Verantwortliche finden eine EDR‑Checkliste, Tipps zur Priorisierung von Patches und pragmatische Schritte, um Angriffsflächen schnell zu reduzieren. Ideal für Sicherheits- und IT‑Leads, die jetzt handeln müssen. Kostenlosen Cyber-Security-Guide herunterladen
Die Eile der Behörde unterstreicht das erhebliche Risiko. Die Schwachstelle wurde bereits am 14. Januar in den Katalog bekannter, ausgenutzter Sicherheitslücken (KEV) aufgenommen. Für diesen Katalog gilt eine verbindliche Remediation-Pflicht für US-Behörden. Das entsprechende Patch-Paket von Microsoft steht seit dem Patch Tuesday am 13. Januar zur Verfügung.
Technisches Risiko: Ein Trojanisches Pferd für komplexe Angriffe
Bei der Lücke handelt es sich technisch um eine Schwachstelle bei der Offenlegung von Informationen in der DWM-Core-Bibliothek. Der Desktop Window Manager ist für die Darstellung grafischer Oberflächenelemente wie Fenstertransparenz verantwortlich.
Ein erfolgreicher Exploit erlaubt es einem Angreifer mit lokalem Zugang, sensible Informationen aus dem Benutzermodus-Speicher auszulesen – konkret Speicheradressen. Allein betrachtet mag das gering erscheinen. Doch genau hier liegt die Gefahr: Diese Informationen sind ein Schlüsselbaustein für komplexe Angriffsketten.
Die offengelegten Speicheradressen können genutzt werden, um fundamentale Sicherheitsbarrieren wie Address Space Layout Randomization (ASLR) zu umgehen. ASLR soll Speichermanipulationen verhindern. Wird dieser Schutz ausgehebelt, können Angreifer aus einem unsicheren lokalen Zugang zuverlässig höhere Berechtigungen erlangen oder die vollständige Systemkontrolle übernehmen. Die CVSS-Bewertung von 5,5 (mittel) täuscht daher über die praktische Brisanz hinweg.
Gefährlicher Start ins Jahr 2026
Die DWM-Lücke ist nicht der einzige aktive Zero-Day-Exploit, der Sicherheitsteams derzeit in Atem hält. Der Januar-Patch von Microsoft behebt insgesamt 113 Sicherheitslücken. Kurz darauf veröffentlichte das Unternehmen bereits ein weiteres, außerplanmäßiges Notfall-Update für eine separate Zero-Day-Lücke in Microsoft Office (CVE-2026-21509).
Auch diese Office-Schwachstelle wird aktiv ausgenutzt und landete im CISA-KEV-Katalog mit einer Frist bis zum 16. Februar. Die Häufung solcher kritischen Lücken in allgegenwärtiger Unternehmenssoftware wie Windows und Office markiert einen volatilen und gefährlichen Start ins Jahr 2026 für Cybersecurity-Verteidiger weltweit.
Empfehlungen für Unternehmen
Da die Details der Schwachstelle nun öffentlich sind, rechnen Analysten mit einer Beschleunigung der Angriffsaktivitäten. Die Notwendigkeit eines lokalen Zugangs deutet darauf hin, dass die Lücke vor allem in der Post-Compromise-Phase eines Angriffs genutzt wird. Ein Eindringling, der bereits einen ersten Fuß in der Tür hat, kann so seine Berechtigungen eskalieren, um sich lateral im Netzwerk zu bewegen.
Unternehmen sollten die Patches vor der CISA-Frist einspielen. Darüber hinaus gelten bewährte Sicherheitspraktiken: Lokale Administratorrechte einschränken und robuste Endpoint Detection and Response (EDR)-Lösungen nutzen, um verdächtige Aktivitäten rund um Prozesse wie dwm.exe zu überwachen. In einer sich ständig weiterentwickelnden Bedrohungslandschaft bleiben kontinuierliche Wachsamkeit und schnelle Reaktion die effektivste Verteidigung.
PS: Sie wollen Angriffe schon in der Post‑Compromise‑Phase stoppen? Der kostenlose Report zeigt bewährte Maßnahmen gegen laterales Bewegen, wie Sie EDR richtig konfigurieren und welche kurzfristigen Schritte jetzt höchste Priorität haben. Praktische Checklisten helfen, Schutzmaßnahmen sofort umzusetzen. Jetzt kostenlosen Cyber-Security-Report anfordern
