Newsgather
BackCISA warnt vor Angriffen auf Windows-Shell- und ScreenConnect-Lücken
CISA warnt vor Angriffen auf Windows-Shell- und ScreenConnect-Lücken
مُلِح
Heise Online29.04.2026تقنية1 dk okumaGermany

CISA warnt vor Angriffen auf Windows-Shell- und ScreenConnect-Lücken

US-Sicherheitsbehörde nimmt zwei Schwachstellen in Katalog auf – SlashAndGrab-Angriffe auf ConnectWise im Umlauf

نظرة سريعة

  • Die US-Sicherheitsbehörde CISA hat zwei aktiv ausgenutzte Schwachstellen in den Known-Exploited-Vulnerabilities-Katalog aufgenommen: eine Windows-Shell-Lücke (CVE-2026-32202, CVSS 4.3) und die bereits seit Februar 2024 bekannte ConnectWise-ScreenConnect-Lücke (CVE-2024-1708, CVSS 8.4).
  • Letztere wird zusammen mit CVE-2024-1709 für sogenannte SlashAndGrab-Angriffe missbraucht.
  • Sicherheitsforscher von Akamai und Huntress liefern Hintergründe und Indicators of Compromise.

ملخص مُنشأ بالذكاء الاصطناعي

لماذا يهم

Die CISA warnt regelmäßig vor aktiv ausgenutzten Schwachstellen und nimmt diese in ihren Known-Exploited-Vulnerabilities-Katalog auf. Die ConnectWise-ScreenConnect-Lücke CVE-2024-1708 ist bereits seit Februar 2024 bekannt und wurde mit Version 23.9.8 gepatcht. Die Windows-Shell-Lücke wurde erst kürzlich öffentlich und ermöglicht das Abgreifen von NTLM-Hashes.

حجم الخط

Angreifer haben es auf Schwachstellen in ConnectWise ScreenConnect und der Windows Shell abgesehen. Vor Angriffen darauf warnt jetzt die US-amerikanische IT-Sicherheitsbehörde CISA.

In der Mitteilung der CISA, dass sie zwei attackierte Schwachstellen in den Known-Exploited-Vulnerabilities-Katalog aufgenommen hat, nennt die Behörde jedoch keine weiteren Details. Umfang, Art und Folgen der Angriffe sind dadurch unklar. Allerdings lassen sich aufgrund der CVE-Schwachstelleneinträge manchmal anderweitig Rückschlüsse ziehen.

So wurden Angriffe auf die Windows Shell am gestrigen Dienstag bekannt (CVE-2026-32202, CVSS 4.3, Risiko „mittel“). Etwa Akamai hat tiefergehende Hintergründe veröffentlicht, das Leck als Zero-Click-Lücke eingeordnet und erörtert, dass Angreifer dadurch Net-NTLM-v2-Hashes abgreifen und diese in NTLM-Relay-Angriffe missbrauchen können – und das auch inzwischen in der Praxis machen.

Die Sicherheitslücke in ConnectWise ScreenConnect, die bösartige Akteure im Netz angreifen, ist hingegen bereits seit Februar 2024 bekannt (CVE-2024-1708, CVSS 8.4, Risiko „hoch“). Seitdem gibt es auch Aktualisierungen der Remote-Monitoring-and-Management-Software (RMM). Hier liefern die IT-Sicherheitsforscher von Huntress hilfreiche Hinweise – die bereits aus Mitte Februar stammen, sind aber offenbar noch immer relevant.

Missbrauchte ScreenConnect-Lücke

Die Schwachstelle CVE-2024-1708 ist eine sogenannte Path-Traversal-Sicherheitslücke, durch die Angreifer Schadcode auf verwundbare Systeme verfrachten können. Laut Huntress nutzen das bösartige Akteure zusammen mit der Sicherheitslücke CVE-2024-1709 (CVSS 10.0, Risiko „kritisch“), die das Umgehen der Authentifizierung ermöglicht. Der Angriff mit kombinierten Schwachstellen hat den Namen „SlashAndGrab“ erhalten.

Betroffen ist ConnectWise ScreenConnect 23.9.7 und vorherige Versionen, der Fix kam mit ScreenConnect 23.9.8 und neueren. IT-Verantwortliche sollten die Sicherheitslücken schließen, indem sie die verfügbaren Patches anwenden. Wer ConnectWise ScreenConnect einsetzt, findet in der Huntress-Analyse zudem einige Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC), auf die die Systeme untersucht werden können.

ما الذي يجب مراقبته

توقعات الذكاء الاصطناعي — احتمالات وليست حقائق

  • Weitere Angriffe auf ungepatchte Systeme werden erwartet

    مرجح جداً · خلال أسابيع

  • IT-Verantwortliche werden verstärkt Patches einspielen

    مرجح · خلال أيام

أسئلة مفتوحة

  • Wie viele Unternehmen wurden konkret angegriffen?
  • Welche Bedrohungsakteure stehen hinter den Angriffen?
  • Gibt es weitere unentdeckte Schwachstellen in den betroffenen Systemen?

مواضيع ذات صلة

This article was originally published by Heise Online.

أخبار ذات صلة

المزيد حول هذا الموضوعcisa