CISA warnt vor zwei aktiv ausgenutzten Schwachstellen im KEV-Katalog-Update

CISA aktualisiert KEV-Katalog mit zwei neuen aktiv ausgenutzten Schwachstellen

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat zwei neue Sicherheitslücken in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. Als Begründung führt die Behörde Hinweise auf aktive Ausnutzung in der Praxis an. Das Update vom 20. Februar 2026 unterstreicht die Dringlichkeit für Bundesbehörden und Organisationen, umgehend Maßnahmen zur Behebung zu ergreifen.

Technische Details der Schwachstellen

1. CVE-2024-21412 (CVSS: 8.1) – Microsoft Windows Internet Shortcut Files: Umgehung von Sicherheitsfunktionen

   • Betroffene Software: Microsoft Windows
   • Schwachstellentyp: Umgehung von Sicherheitsfunktionen durch bösartige Internet-Verknüpfungsdateien (.URL)
   • Ausnutzungsvektor: Angreifer können speziell gestaltete .URL-Dateien erstellen, um den Mark of the Web (MotW)-Schutz zu umgehen. Dadurch können schädliche Skripte ohne Sicherheitswarnungen ausgeführt werden.
   • Auswirkung: Bei erfolgreicher Ausnutzung könnte beliebiger Code mit Benutzerrechten ausgeführt werden, was zu einer weiteren Kompromittierung des betroffenen Systems führen kann.

2. CVE-2023-29360 (CVSS: 7.8) – Microsoft Streaming Service Proxy: Rechteerweiterung

   • Betroffene Software: Microsoft Windows Streaming Service Proxy
   • Schwachstellentyp: Lokale Rechteerweiterung
   • Ausnutzungsvektor: Ein Angreifer mit geringen Berechtigungen auf einem verwundbaren System kann eine Schwachstelle im Streaming Service Proxy ausnutzen, um seine Privilegien auf SYSTEM-Ebene zu erhöhen.
   • Auswirkung: Diese Schwachstelle könnte Angreifern die vollständige Kontrolle über einen kompromittierten Host ermöglichen und so laterale Bewegungen oder Persistenz im Netzwerk erleichtern.

Analyse der Auswirkungen

Beide Schwachstellen werden aktiv ausgenutzt und stellen ein erhebliches Risiko für ungepatchte Systeme dar. CVE-2024-21412 ist besonders besorgniserregend, da sie für den initialen Zugriff über Phishing- oder Drive-by-Download-Angriffe genutzt werden kann. CVE-2023-29360 könnte in Kombination mit anderen Exploits genutzt werden, um eine vollständige Systemkompromittierung zu erreichen. Bundesbehörden, die der Binding Operational Directive (BOD) 22-01 der CISA unterliegen, müssen diese Schwachstellen bis zum 13. März 2026 beheben. Allerdings wird allen Organisationen dringend empfohlen, das Patchen zu priorisieren.

Empfehlungen

• Patches umgehend anwenden: Organisationen sollten die offiziellen Patches von Microsoft für CVE-2024-21412 und CVE-2023-29360 ohne Verzögerung einspielen.
• MotW-Schutzmaßnahmen durchsetzen: Für CVE-2024-21412 sollte sichergestellt werden, dass die Mark of the Web (MotW)-Sicherheitsfunktionen aktiviert und korrekt konfiguriert sind, um bösartige .URL-Dateien zu blockieren.
• Überwachung auf Ausnutzungsversuche: Implementieren Sie Netzwerk- und Endpunkt-Erkennungsregeln, um potenzielle Ausnutzungsversuche zu identifizieren, wie z. B. ungewöhnliche Prozessausführungen oder Aktivitäten zur Rechteerweiterung.
• KEV-Katalog der CISA regelmäßig prüfen: Konsultieren Sie regelmäßig den KEV-Katalog, um über Updates zu aktiv ausgenutzten Schwachstellen informiert zu bleiben und die Behebung entsprechend zu priorisieren.

Die Aufnahme dieser Schwachstellen in den KEV-Katalog der CISA unterstreicht die kritische Notwendigkeit eines proaktiven Schwachstellenmanagements in Unternehmensumgebungen. Werden diese Sicherheitslücken nicht behoben, könnten Organisationen gezielten Angriffen durch fortgeschrittene Bedrohungsakteure ausgesetzt sein.