Dernière minute
FRMarseille : les pompiers luttent toujours contre un incendie au nord de la ville, un second fixé et plus de 250 pompiers mobilisésFRJérôme Barella, suspect dans le meurtre d'une fillette, visé par une perquisitionFRNantes: Le service mortuaire du CHU en grève face à la surmortalité et aux conditions de travailFR16 enfants enfermés dans 13 m² survivaient dans la «maison de l’horreur» aux États-UnisFRCanicule : l'agriculture française face à des conséquences "inédites"FRFrance : Les pompiers volontaires appelés à la rescousse face aux feux de forêtFRFrance vs. Paraguay: Controversy Over Refereeing and Player Conduct in World Cup MatchFRLa Chine et la Russie lancent des exercices navals conjointsFRLe Hamas annonce la dissolution de son administration à GazaCRYPTO-FRRipple obtient une licence européenne pour ses services de paiement cryptoFRMarseille : les pompiers luttent toujours contre un incendie au nord de la ville, un second fixé et plus de 250 pompiers mobilisésFRJérôme Barella, suspect dans le meurtre d'une fillette, visé par une perquisitionFRNantes: Le service mortuaire du CHU en grève face à la surmortalité et aux conditions de travailFR16 enfants enfermés dans 13 m² survivaient dans la «maison de l’horreur» aux États-UnisFRCanicule : l'agriculture française face à des conséquences "inédites"FRFrance : Les pompiers volontaires appelés à la rescousse face aux feux de forêtFRFrance vs. Paraguay: Controversy Over Refereeing and Player Conduct in World Cup MatchFRLa Chine et la Russie lancent des exercices navals conjointsFRLe Hamas annonce la dissolution de son administration à GazaCRYPTO-FRRipple obtient une licence européenne pour ses services de paiement crypto
Newsgather
BackCISA warnt vor Angriffen auf Windows-Shell- und ScreenConnect-Lücken
CISA warnt vor Angriffen auf Windows-Shell- und ScreenConnect-Lücken
Urgent
Heise Online29.04.2026Tech1 dk okumaGermany

CISA warnt vor Angriffen auf Windows-Shell- und ScreenConnect-Lücken

US-Sicherheitsbehörde nimmt zwei Schwachstellen in Katalog auf – SlashAndGrab-Angriffe auf ConnectWise im Umlauf

L'essentiel

  • Die US-Sicherheitsbehörde CISA hat zwei aktiv ausgenutzte Schwachstellen in den Known-Exploited-Vulnerabilities-Katalog aufgenommen: eine Windows-Shell-Lücke (CVE-2026-32202, CVSS 4.3) und die bereits seit Februar 2024 bekannte ConnectWise-ScreenConnect-Lücke (CVE-2024-1708, CVSS 8.4).
  • Letztere wird zusammen mit CVE-2024-1709 für sogenannte SlashAndGrab-Angriffe missbraucht.
  • Sicherheitsforscher von Akamai und Huntress liefern Hintergründe und Indicators of Compromise.

Résumé généré par IA

Pourquoi c'est important

Die CISA warnt regelmäßig vor aktiv ausgenutzten Schwachstellen und nimmt diese in ihren Known-Exploited-Vulnerabilities-Katalog auf. Die ConnectWise-ScreenConnect-Lücke CVE-2024-1708 ist bereits seit Februar 2024 bekannt und wurde mit Version 23.9.8 gepatcht. Die Windows-Shell-Lücke wurde erst kürzlich öffentlich und ermöglicht das Abgreifen von NTLM-Hashes.

Taille de police

Angreifer haben es auf Schwachstellen in ConnectWise ScreenConnect und der Windows Shell abgesehen. Vor Angriffen darauf warnt jetzt die US-amerikanische IT-Sicherheitsbehörde CISA.

In der Mitteilung der CISA, dass sie zwei attackierte Schwachstellen in den Known-Exploited-Vulnerabilities-Katalog aufgenommen hat, nennt die Behörde jedoch keine weiteren Details. Umfang, Art und Folgen der Angriffe sind dadurch unklar. Allerdings lassen sich aufgrund der CVE-Schwachstelleneinträge manchmal anderweitig Rückschlüsse ziehen.

So wurden Angriffe auf die Windows Shell am gestrigen Dienstag bekannt (CVE-2026-32202, CVSS 4.3, Risiko „mittel“). Etwa Akamai hat tiefergehende Hintergründe veröffentlicht, das Leck als Zero-Click-Lücke eingeordnet und erörtert, dass Angreifer dadurch Net-NTLM-v2-Hashes abgreifen und diese in NTLM-Relay-Angriffe missbrauchen können – und das auch inzwischen in der Praxis machen.

Die Sicherheitslücke in ConnectWise ScreenConnect, die bösartige Akteure im Netz angreifen, ist hingegen bereits seit Februar 2024 bekannt (CVE-2024-1708, CVSS 8.4, Risiko „hoch“). Seitdem gibt es auch Aktualisierungen der Remote-Monitoring-and-Management-Software (RMM). Hier liefern die IT-Sicherheitsforscher von Huntress hilfreiche Hinweise – die bereits aus Mitte Februar stammen, sind aber offenbar noch immer relevant.

Missbrauchte ScreenConnect-Lücke

Die Schwachstelle CVE-2024-1708 ist eine sogenannte Path-Traversal-Sicherheitslücke, durch die Angreifer Schadcode auf verwundbare Systeme verfrachten können. Laut Huntress nutzen das bösartige Akteure zusammen mit der Sicherheitslücke CVE-2024-1709 (CVSS 10.0, Risiko „kritisch“), die das Umgehen der Authentifizierung ermöglicht. Der Angriff mit kombinierten Schwachstellen hat den Namen „SlashAndGrab“ erhalten.

Betroffen ist ConnectWise ScreenConnect 23.9.7 und vorherige Versionen, der Fix kam mit ScreenConnect 23.9.8 und neueren. IT-Verantwortliche sollten die Sicherheitslücken schließen, indem sie die verfügbaren Patches anwenden. Wer ConnectWise ScreenConnect einsetzt, findet in der Huntress-Analyse zudem einige Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC), auf die die Systeme untersucht werden können.

À surveiller

Perspective IA — des possibilités, pas des certitudes

  • Weitere Angriffe auf ungepatchte Systeme werden erwartet

    Très probable · En quelques semaines

  • IT-Verantwortliche werden verstärkt Patches einspielen

    Probable · En quelques jours

Questions ouvertes

  • Wie viele Unternehmen wurden konkret angegriffen?
  • Welche Bedrohungsakteure stehen hinter den Angriffen?
  • Gibt es weitere unentdeckte Schwachstellen in den betroffenen Systemen?

Sujets liés

This article was originally published by Heise Online.

Articles liés

Plus sur ce sujetcisa