ZURÜCK ZU NACHRICHTEN
CERT-Hinweise

CISA markiert vier aktiv ausgenutzte Schwachstellen im KEV-Katalog-Update

2 Min. LesezeitQuelle: CISA Cybersecurity Advisories
CVE-2008-0015

CISA erweitert den KEV-Katalog um vier kritische Schwachstellen, die aktiv ausgenutzt werden. Unternehmen müssen dringend Patches für Microsoft-Produkte anwenden, um Risiken zu minimieren.

CISA erweitert KEV-Katalog um vier aktiv ausgenutzte Schwachstellen

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat vier neue Schwachstellen in ihren Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen. Als Begründung führt die Behörde aktive Ausnutzungsversuche in der Praxis an. Das am 17. Februar 2026 veröffentlichte Update unterstreicht die Dringlichkeit für Unternehmen, ihre Abhilfemaßnahmen zu priorisieren.

Technische Details der Schwachstellen

Die neu aufgelisteten Schwachstellen umfassen:

  1. CVE-2008-0015 – Ein Pufferüberlauf in der Implementierung des Server Message Block (SMB)-Protokolls von Microsoft, der die Remote Code Execution (RCE) mit Systemrechten ermöglicht. Diese veraltete Schwachstelle ist aufgrund anhaltender Ausnutzungsversuche auf ungepatchten Systemen wieder aufgetaucht.

  2. CVE-2024-21412 – Eine Sicherheitsfunktionsumgehung in Microsoft Windows Internet Shortcut Files, die es Angreifern ermöglicht, Mark-of-the-Web (MotW)-Schutzmechanismen zu umgehen. Dadurch können bösartige Payloads über manipulierte .url-Dateien verbreitet werden.

  3. CVE-2024-21410 – Eine Privilegienerweiterungs-Schwachstelle in Microsoft Exchange Server, die auf eine fehlerhafte Validierung von Cmdlet-Argumenten zurückzuführen ist. Bei erfolgreicher Ausnutzung erhalten Angreifer erweiterte Rechte, was zu einer vollständigen Systemkompromittierung führen kann.

  4. CVE-2024-21413 – Eine Remote-Code-Execution-Schwachstelle in Microsoft Outlook, die durch die unsachgemäße Verarbeitung speziell präparierter E-Mails ausgelöst wird. Angreifer können diese Lücke ausnutzen, um beliebigen Code im Kontext der Benutzersitzung des Opfers auszuführen.

Auswirkungsanalyse

Die Aufnahme dieser Schwachstellen in den KEV-Katalog deutet auf deren aktive Ausnutzung durch Threat Actors hin, darunter Advanced Persistent Threat (APT)-Gruppen und Ransomware-Betreiber. Unternehmen, die ungepatchte Microsoft-Produkte – insbesondere Exchange Server, Outlook und ältere Windows-Systeme – einsetzen, sind einem erhöhten Risiko ausgesetzt für:

  • Unautorisierten Systemzugriff durch RCE oder Privilegienerweiterung.
  • Laterale Bewegung innerhalb von Netzwerken, was zu Datenexfiltration oder der Verbreitung von Ransomware führen kann.
  • Umgehung von Sicherheitskontrollen, wie z. B. MotW-Schutzmechanismen, was die heimliche Verbreitung von Malware ermöglicht.

Empfehlungen für Sicherheitsteams

Die CISA hat Bundesbehörden der zivilen Exekutive (FCEB) angewiesen, diese Schwachstellen bis zum 10. März 2026 gemäß der Binding Operational Directive (BOD) 22-01 zu beheben. Privatwirtschaftliche Organisationen werden dringend aufgefordert:

  • Patches umgehend anzuwenden für alle betroffenen Microsoft-Produkte, wobei internetexponierte Systeme priorisiert werden sollten.
  • Den KEV-Katalog der CISA zu prüfen, um zusätzlichen Kontext und Anleitungen zur Schadensbegrenzung zu erhalten.
  • Netzwerke zu überwachen auf Indicators of Compromise (IoCs), die mit diesen CVEs in Verbindung stehen – insbesondere ungewöhnlichen SMB-Datenverkehr (CVE-2008-0015) oder verdächtige .url-Datei-Downloads (CVE-2024-21412).
  • Least-Privilege-Zugriff durchzusetzen und kritische Systeme zu segmentieren, um die Auswirkungen potenzieller Exploits zu begrenzen.

Weitere Details finden Sie in der offiziellen Warnmeldung der CISA.

Teilen

TwitterLinkedIn