Eine kritische Schwachstelle in Windows hebelt einen grundlegenden Schutzmechanismus gegen Schadsoftware aus. Das Sicherheitsleck in der Windows Remote Assistance-Funktion neutralisiert die sogenannte „Mark of the Web“ (MOTW), die normalerweise vor aus dem Internet heruntergeladenen Dateien warnt. Angreifer können so Malware einfacher und unentdeckt ausführen.
Microsoft veröffentlichte am 13. Januar 2026, dem letzten „Patch Tuesday“, einen Fix für die als CVE-2026-20824 geführte Lücke. Das Unternehmen stuft den Schweregrad als „Wichtig“ ein. Betroffen sind alle gängigen Windows-Versionen, von Windows 10 und 11 bis hin zu Server-Editionen wie 2019, 2022 und 2025. Nutzer und Administratoren sollten die Sicherheitsupdates umgehend installieren.
Wie die Schutzbarriere ausgehebelt wird
Das Herzstück der Schwachstelle ist die Umgehung der „Mark of the Web“. Diese unsichtbare Kennzeichnung setzt Windows automatisch auf Dateien, die aus dem Internet stammen. Sie signalisiert dem System: „Vorsicht, unsichere Quelle“. Beim Öffnen solcher Dateien erscheinen daher verstärkte Sicherheitswarnungen, und die Ausführung wird oft eingeschränkt.
Phishing-Mails und manipulierte Dateien sind genau das Einfallstor, das Angreifer in solchen Fällen nutzen – und die übliche Warnfunktion kann hier außer Kraft gesetzt werden. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Unternehmen und IT‑Verantwortliche CEO‑Fraud erkennen, Mitarbeiter schützen und Datei‑basierte Angriffe abwehren. Enthalten sind Checklisten, Erkennungsregeln und konkrete Sofortmaßnahmen. Anti-Phishing-Paket jetzt kostenlos herunterladen
Die Lücke im Windows Remote Assistance-Tool manipuliert diesen Prozess. Ein speziell präpariertes, schädliches Dokument kann das Tool so triggern, dass Windows die MOTW-Kennzeichnung ignoriert. Die Datei wird dann behandelt, als käme sie von einem vertrauenswürdigen lokalen Speicherort – ohne Warnhinweise und ohne die üblichen Sicherheitsprüfungen. Für Angreifer wird es so deutlich einfacher, Malware oder Skripte unentdeckt auszuführen.
Mäßiges Risiko mit hohem Schadpotenzial
Microsoft bewertet das unmittelbare Ausnutzungsrisiko als „weniger wahrscheinlich“. Die Schwachstelle hat einen CVSS-Basis-Score von 5,5 und erfordert lokalen Zugriff. Ein Angriff gelingt nur, wenn ein Nutzer eine manipulierte Datei öffnet – typischerweise per Social Engineering via Phishing-E-Mail oder kompromittierter Website.
Dennoch ist die Gefahr real. Die Lücke selbst ermöglicht keine komplette Systemübernahme, aber sie ebnet den Weg für andere Schadsoftware. Sie ist ein klassisches Beispiel für eine „Protection Mechanism Failure“: Sie deaktiviert keine Sicherheitssoftware, sondern untergräbt eine ihrer grundlegenden Entscheidungsgrundlagen. Für komplexe, mehrstufige Angriffe ist ein solcher Umgehungsmechanismus äußerst wertvoll.
Updates installieren und Risiko minimieren
Microsoft hat für alle betroffenen Systeme Patches bereitgestellt. Die Updates sind als „erforderlich“ gekennzeichnet. Bislang gibt es keine Berichte über aktive Angriffe in der Wildnis. Bis die Patches eingespielt sind, können Unternehmen als Workaround die Nutzung von Windows Remote Assistance über Gruppenrichtlinien in risikoreichen Umgebungen einschränken.
Der Fall zeigt einen anhaltenden Trend: Angreifer zielen zunehmend auf fundamentale Schutzmechanismen ab, anstatt nur neue Wege zur Code-Ausführung zu suchen. Die Umgehung der „Mark of the Web“ ist ein beliebtes Ziel, da sie die Verteidigung gegen eine breite Palette dateibasierter Angriffe schwächt. Sicherheitstools, die auf MOTW-Flags zur Bedrohungserkennung angewiesen sind, werden durch solche Lücken weniger effektiv.
Die wichtigste Lehre bleibt die schnelle Installation von Sicherheitsupdates. Zwar ist die unmittelbare Gefahr einer massenhaften Ausnutzung gering, doch die öffentliche Bekanntgabe der Schwachstellendetails könnte die Entwicklung von Proof-of-Concept-Exploits beschleunigen. Der Vorfall unterstreicht erneut, wie entscheidend eine tiefgestaffelte Verteidigung (Defense-in-Depth) und geschulte Nutzer im Kampf gegen Social Engineering sind.
