Eine kritische Schwachstelle in der Windows-Kerberos-Authentifizierung ist öffentlich geworden – samt funktionsfähigem Exploit. Das als CVE-2026-20929 geführte Leck ermöglicht Angreifern, selbst in vermeintlich gesicherten Umgebungen die Kontrolle zu übernehmen.
Angriff über manipulierte DNS-Einträge
Der Kern des Problems liegt im Verhalten des Windows-Kerberos-Clients. Bei der Authentifizierung folgt er blind DNS CNAME-Einträgen (Canonical Name). Ein Angreifer in einer Man-in-the-Middle-Position kann diese DNS-Abfragen abfangen und eine manipulierte Antwort zurückschicken. Sie enthält einen CNAME-Eintrag, der auf einen vom Angreifer kontrollierten Hostnamen verweist.
Das fatale Ergebnis: Der Windows-Client baut sein Ticket Granting Service (TGS)-Anforderung für diesen fremden Hostnamen, nicht für den eigentlichen Dienst. Der Angreifer erhält so ein gültiges Kerberos-Ticket, das er für den Zugriff auf andere Dienste wie SMB-Freigaben oder HTTP-Schnittstellen missbrauchen kann. Die Technik funktioniert in allen Standardkonfigurationen von Windows 10, 11 und Server 2025.
Unternehmen sind von neuen Kerberos-Exploits wie CVE-2026-20929 besonders bedroht – Angreifer nutzen kompromittierte DNS-Antworten, um sich Zugriff auf SMB-Freigaben und interne Dienste zu verschaffen. Ein kostenloser Cyber-Security-Leitfaden erklärt praxisnah, welche Sofortmaßnahmen Ihre IT jetzt ergreifen muss: Netzwerksegmentierung, erzwungenes SMB-/LDAP-Signing, Erkennungsregeln für ungewöhnliche DNS-CNAME-Antworten und Prioritäten für Incident Response. Der Report enthält Checklisten für Erkennung, Priorisierung und schnelle Härtungsschritte, damit Ihr Team reagiert, bevor Angreifer Schaden anrichten. Gratis Cyber-Security-Leitfaden herunterladen
Funktionierender Exploit veröffentlicht – Gefahr steigt
Die Bedrohungslage hat sich heute, am 19. Januar 2026, deutlich verschärft. Auf GitHub wurde ein funktionsfähiges Proof-of-Concept (PoC)-Tool veröffentlicht. Es handelt sich um eine modifizierte Version des bekannten mitm6-Tools, die nun gezieltes CNAME-Poisoning ermöglicht.
Der Angriffsablauf ist standardisiert:
1. Der Angreifer verschafft sich eine MITM-Position im Netzwerk.
2. Das Tool lauscht auf DNS-Anfragen und antwortet mit manipulierten CNAME-Einträgen.
3. Das Opfersystem authentifiziert sich unwissentlich beim Angreifer.
4. Das gestohlene Ticket wird an andere Diense weitergeleitet, um Zugriff oder höhere Rechte zu erlangen.
Berichten zufolge wurde der Exploit bereits erfolgreich auf aktuellen, gepatchten Windows-Server-Versionen getestet. Ein „Passthrough“-Modus soll die Entdeckung erschweren, indem nur bestimmte Ziele angegriffen werden.
Microsofts Reaktion und anhaltende Risiken
Microsoft wurde über die Schwachstelle bereits im Oktober 2025 informiert. Die Sicherheitsupdates vom Januar 2026 enthalten erste Gegenmaßnahmen. Der Konzern hat die Unterstützung für Channel Binding Tokens (CBT) in HTTP.sys erweitert. Dies verhindert die Weitergabe von Tickets an HTTP-Dienste.
Doch das grundlegende Problem bleibt: Der Windows-Client folgt weiterhin CNAME-Einträgen. Gegen Dienste, die keine strikte Nachrichtensignierung oder CBT erzwingen – wie viele Standard-SMB-Konfigurationen – ist die Lücke nach wie vor ausnutzbar. Die Patches sind also nur ein Teil der Lösung.
Paradigmenwechsel für die IT-Sicherheit
CVE-2026-20929 markiert eine gefährliche Entwicklung. Bislang galt das Abschalten des alten NTLM-Protokolls als wirksamer Schutz gegen viele Relay-Angriffe. Diese neue Methode zeigt: Selbst der als sicherer geltende Kerberos-Standard ist verwundbar, wenn die zugrundeliegende DNS-Auflösung kompromittiert wird.
Die Lücke unterstreicht die kritische Abhängigkeit der Authentifizierungssicherheit von der Integrität der Netzwerkinfrastruktur. Sie macht deutlich, dass Maßnahmen wie DHCP Snooping, Dynamic ARP Inspection und vor allem die flächendeckende Durchsetzung von SMB Signing und LDAP Signing essenziell sind.
Ausblick und dringende Handlungsempfehlungen
Mit der öffentlichen Verfügbarkeit des Exploits müssen Security Operations Centers mit mehr Angriffsversuchen rechnen. Die Verteidigergemeinschaft arbeitet an Erkennungsregeln für abnormale DNS-CNAME-Antworten.
Langfristig dürfte Microsoft unter Druck geraten, Administratoren mehr Kontrolle über das CNAME-Verhalten zu geben – etwa über Group Policy. Bis dahin bleibt nur ein mehrschichtiger Ansatz: Die Januar-Patches umgehend einspielen, SMB Signing zwingend erzwingen und die Netzwerksegmentierung überprüfen. Die Ära einfacher Lösungen in der Active-Directory-Sicherheit ist endgültig vorbei.
PS: Patches allein reichen selten aus — besonders bei Angriffen, die Netzwerkinfrastruktur ausnutzen. Dieser kostenlose Report zeigt IT-Verantwortlichen und Sicherheits-Teams konkrete Erkennungsregeln, Checklisten für SOC-Playbooks und pragmatische Härtungsmaßnahmen, die sich ohne zusätzliche Festanstellungen umsetzen lassen. Praxisnahe Beispiele erklären, wie Sie Erkennungs-Workflows anpassen und Prioritäten setzen, damit CVE-ähnliche Angriffe schneller entdeckt und gestoppt werden. Jetzt kostenlosen Cyber-Security-Report anfordern
