Gleich mehrere schwerwiegende Sicherheitslücken versetzen IT-Administratoren weltweit in Alarmbereitschaft.
Ein altbekannter Treiber-Fehler, eine kritische Exchange-Lücke und immer raffiniertere Methoden zur Umgehung der Zwei-Faktor-Authentifizierung – die vergangenen Tage haben Microsofts Sicherheitsarchitektur schwer erschüttert. Besonders brisant: Der Exploit MiniPlasma funktioniert selbst auf vollständig aktualisierten Windows-11-Systemen, obwohl der zugrundeliegende Fehler angeblich bereits 2020 behoben wurde.
Während IT-Abteilungen weltweit gegen komplexe Server-Lücken kämpfen, geraten die Endgeräte der Mitarbeiter immer häufiger ins Visier professioneller Hacker. Das kostenlose E-Book zur Cyber Security zeigt Ihnen, wie Sie Ihr Unternehmen proaktiv vor den neuesten Bedrohungen des Jahres 2024 schützen. Cyber Security Strategien für Unternehmen jetzt kostenlos herunterladen
MiniPlasma: Ein alter Fehler, neu entfacht
Mitte Mai veröffentlichte ein Sicherheitsforscher unter dem Pseudonym Chaotic Eclipse einen funktionsfähigen Exploit namens MiniPlasma. Das Werkzeug zielt auf eine Schwachstelle im Windows Cloud Files Mini Filter Treiber (cldflt.sys) ab, die als CVE-2020-17103 bekannt ist. Microsoft hatte den Fehler nach einem Hinweis von Google Project Zero im Dezember 2020 gepatcht – doch wie sich nun zeigt, reichte der Fix nicht aus.
Der Exploit ermöglicht es Angreifern mit niedrigen Zugriffsrechten, ihre Berechtigungen auf SYSTEM-Level auszuweiten. Unabhängige Forscher wie Will Dormann bestätigten, dass MiniPlasma auf aktuellen Windows-11-Systemen funktioniert. Interessanterweise scheint der Exploit auf den Canary-Builds des Windows Insider Programms nicht zu wirken – offenbar haben architektonische Änderungen in den experimentellen Versionen die Schwachstelle unbeabsichtigt entschärft.
Die Veröffentlichung des Exploits hat in der Sicherheitscommunity scharfe Kritik an Microsofts Patch-Management auszulösen. Der Forscher gab an, dass Frustration über die anhaltende Verwundbarkeit Jahre nach dem vermeintlichen Fix der Grund für die öffentliche Freigabe war. Für Unternehmen bedeutet MiniPlasma ein ernstes Risiko: Einmal eingedrungen, können Angreifer damit zuverlässig seitwärts durchs Netzwerk wandern und Systeme vollständig übernehmen.
Exchange Zero-Day: Sitzungen kapern ohne Passwort
Noch gefährlicher für Unternehmen ist eine neu entdeckte Zero-Day-Lücke in Microsoft Exchange Server. Die Schwachstelle mit der Kennung CVE-2026-42897 und einem CVSS-Score von 8,1 betrifft Outlook im Web (OWA). Über speziell präparierte E-Mails können Angreifer Schadcode ausführen und aktive Sitzungen übernehmen.
Das Tückische: Der Angriff umgeht den Passwortschutz vollständig. Wer eine aktive Sitzung kapert, erhält Zugriff auf Postfächer und Unternehmensdaten – ohne jemals ein Kennwort einzugeben. Microsoft bestätigte, dass Exchange Online nicht betroffen ist, wohl aber die On-Premises-Versionen Exchange 2016, 2019 und die Subscription Edition (SE).
Die US-Behörde für Cybersicherheit (CISA) hat die Lücke bereits in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen und fordert Bundesbehörden auf, bis zum 29. Mai Gegenmaßnahmen zu implementieren. Microsoft hat zwar Notfall-Mitigationen über den Exchange Emergency Mitigation Service (EEMS) bereitgestellt, dauerhafte Patches sollen jedoch nur für Kunden mit Extended Security Updates (ESU) verfügbar sein.
2FA-Bypass: Wenn der zweite Faktor nichts mehr nützt
Die Methoden zur Umgehung der Zwei-Faktor-Authentifizierung werden immer ausgefeilter. Das Phishing-Kit „Tycoon 2FA“ zielt auf Microsoft-365-Konten ab und nutzt einen neuartigen OAuth-basierten Ansatz. Statt Anmeldedaten abzugreifen, verwenden die Angreifer den OAuth-Gerätecode-Fluss: Opfer werden auf eine legitime Microsoft-Anmeldeseite gelockt, wo sie aufgefordert werden, eine Anwendung zu autorisieren. Einmal erteilt, erhalten die Angreifer einen Token, der sowohl das Passwort als auch den zweiten Authentifizierungsfaktor überflüssig macht.
Parallel dazu setzt die Bedrohungsgruppe Storm-2949 auf eine Kombination aus Social Engineering und „MFA-Ermüdung“ – einer Technik, bei der Nutzer mit Authentifizierungsanfragen bombardiert werden, bis sie versehentlich eine bestätigen. Ist die Identität erst einmal kompromittiert, bewegt sich die Gruppe lateral durch Azure-Dienste und greift App Services, Key Vaults und Storage Accounts an.
Das Ausmaß dieser Angriffe ist gewaltig: Weltweit belaufen sich die Schäden durch Smartphone-basierte Cyberattacken auf rund 442 Milliarden Euro. Banking-Trojaner verzeichneten im ersten Quartal 2026 einen Anstieg von 196 Prozent auf 1,24 Millionen Fälle. „Quishing“ – Phishing über QR-Codes – legte um 150 Prozent auf 18 Millionen gemeldete Vorfälle zu.
Angesichts der rasant steigenden Schäden durch Smartphone-basierte Angriffe und Banking-Trojaner wird der mobile Schutz zur Pflichtaufgabe für jeden Nutzer. Dieser kostenlose PDF-Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Smartphone effektiv gegen Hacker und Viren absichern. Gratis-Ratgeber: 5 Schutzmaßnahmen für Android-Smartphones
Die Industrie reagiert: Zero Trust als neuer Standard
Angesichts der zunehmenden Umgehungen von 2FA und identitätsbasierten Angriffen forcieren große Technologieanbieter den Umstieg auf widerstandsfähigere Authentifizierungsstandards. Microsoft drängt auf die Einführung von Passkeys unter Windows 11 und kündigte gleichzeitig an, die SMS-basierte Authentifizierung für Privatkonten auslaufen zu lassen. SMS-Codes gelten aufgrund von SIM-Swapping und Abhörtechniken zunehmend als Sicherheitsrisiko.
Auch mobile Betriebssysteme rüsten auf: iOS 26.5 und Android 17 führen verbesserte Schutzmechanismen gegen KI-gestützten Betrug wie Sprachklonen ein. Allerdings läuft der Support für ältere Versionen – konkret Android 5.0 und iOS 13 – am 8. September 2026 aus, wodurch ein erheblicher Teil der Nutzerbasis ungeschützt bleibt.
Private Kommunikationsplattformen ziehen nach: Signal hat neue Maßnahmen gegen Social Engineering eingeführt, darunter Warnungen vor „ungeprüften Namen“ und zusätzliche Bestätigungsschritte für Nachrichtenanfragen unbekannter Kontakte. WhatsApp testet derweil „Incognito Chats“ auf Basis von Meta-KI, die sensible Gespräche über Finanzen oder Gesundheit selbst für den Plattformbetreiber unzugänglich machen sollen.
Was Administratoren jetzt tun müssen
Die Kombination aus ungepatchten Treiber-Exploits wie MiniPlasma und Session-Hijacking-Lücken in Exchange Server schafft ein explosives Umfeld für IT-Abteilungen. Die herkömmliche Multi-Faktor-Authentifizierung reicht gegen moderne Phishing-Kits und Identitätsdiebstahl-Gruppen nicht mehr aus.
Die unmittelbare Priorität für Administratoren: Die Integrität der Windows Cloud Filter Treiber prüfen und die Exchange-Server-Mitigationen vor den Fristen Ende Mai anwenden. Langfristig führt kein Weg an einer Zero-Trust-Architektur vorbei, bei der Identitäten kontinuierlich über phishing-resistente Hardware-Schlüssel oder Biometrie verifiziert werden – statt über statische Codes oder Tokens. Solange Angreifer das „menschliche Element“ durch MFA-Ermüdung und OAuth-Täuschung ausnutzen, werden automatisierte Identity-Governance und bedingte Zugriffsrichtlinien zum neuen Standard für den Schutz vor Cloud-weiten Sicherheitsverletzungen.
