Vergleich von 27. Mai 2026 mit dem Vortag 26. Mai 2026.
Unit 42 dokumentiert aktive, wahrscheinlich staatliche Ausnutzung (CL-STA-1132) einer PAN-OS-Zero-Day, die unauthentifizierte Remote-Code-Execution ermöglicht und auf kritische Netzwerk-Perimeter-Infrastruktur abzielt.
CL-STA-1132, eine wahrscheinlich staatlich gesponserte Bedrohungsgruppe, nutzt CVE-2026-0300 aktiv aus und setzt Open-Source-Tunneling-Tools sowie Active-Directory-Enumeration nach der initialen Kompromittierung ein.
Eine Remote-Code-Execution-Lücke in BeeStation Manager erfordert Aufmerksamkeit, falls das Produkt im Einsatz ist , betrifft aber nicht die Standard-Synology-DSM-Geräte, die üblicherweise bei Manufakturern eingesetzt werden.
Eine Authentifizierungsumgehung im Synology DSM SSO-Modul erlaubt unbefugten Zugriff auf NAS-Systeme mit Kenntnis des LDAP Distinguished Names, ohne Passwort zu benötigen.
Die Schwachstelle ermöglicht lokalen Nutzern die Installation unsignierter APP-Pakete auf PLCnext-Steuerungen ohne Integritätsprüfung, was zu Rootzugriff und Code-Ausführung führt , ein kritisches Risiko für vernetzte Industrieautomationen.
Die Schwachstelle ermöglicht es einem beliebigen Benutzer in der gleichen Entra-ID-Domäne, sich lokal als anderer Benutzer auf Unix-Systemen anzumelden, wenn der DAG-Flow Domain-Aliasing prüft, aber nicht den kompletten UPN validiert.
Die Schwachstelle ermöglicht passiven Netzwerk-Angreifern den Zugriff auf sensitive Gesundheitsdaten (Patientenidentifikatoren, SMC-B-Operationen, Dokumentinhalte) in der Telematik-Infrastruktur ohne aktive Exploitation.
MuddyWater (iranischer Staat-APT) nutzt Chaos-Ransomware als Tarnung für gezielte Operationen gegen westliche Infrastruktur und maskiert nationale Interessen als kriminelle RaaS-Aktivität.
Das deutsche Kabinett hat dem BKA neue Befugnisse zur aktiven Cyberabwehr erteilt, einschließlich des Rechts, in fremde IT-Systeme einzudringen und diese zu stören oder zu zerstören , eine Maßnahme, die erhebliche Risiken für unbeteiligte Dritte mit sich bringt, da Angreifer routinemäßig kompromittierte Systeme als Sprungbretter nutzen.
Nation-State-Akteure unterscheiden sich fundamental von finanziell motivierten Angreifern: Sie verwenden keine Breaking-and-Entering-Methoden, sondern kompromittieren Zugangsdaten und verbleiben monatelang unsichtbar unter Verwendung legitimer Benutzer-Tools.
Der deutsche Gesetzentwurf regelt erstmals explizit Hackbacks und aktive Cyberabwehr, was für deutsche und europäische Unternehmen neue rechtliche Grenzen und Möglichkeiten für Cybergegenmaßnahmen definiert.
Die Schwachstelle erfordert lokalen Zugriff und betrifft nur die Abfrage sensitiver Parameter; ein CVSS-Bewertung oder Exploitierbarkeit wird nicht erwähnt.
OceanLotus nutzt legitime Python-Package-Repositories (PyPI) als Distributionskanal für Malware, um Entwickler und Organisationen mit Python-Abhängigkeiten zu kompromittieren , ein ausgefeilter Supply-Chain-Ansatz mit potenziellem DACH-Bezug.
Eine lokale Validierungslücke in Synology ActiveProtect Agent ermöglicht lokal authentifizierten Benutzern, während der Installation willkürliche Dateien mit eingeschränktem Inhalt zu schreiben, was die Integrität von Backup-Operationen gefährden könnte.
Die Schwachstelle ermöglicht lokalen Angreifern während der Installation das Schreiben beliebiger Dateien mit eingeschränktem Inhalt , ein Installationsangriff, der privilegierte Zugriffe voraussetzt und daher ein moderates Risiko für isolierte Backup-Systeme darstellt.
Die Schwachstelle erlaubt lokalen Benutzern, während der Installation beliebige Dateien mit beschränktem Inhalt zu schreiben , ein kritisches Risiko in Produktionsumgebungen mit privilegiertem Installationszugriff.
Die Schwachstelle erlaubt bereits authentifizierten Administratoren, über undokumentierte Vektoren an vertrauliche Informationen zu gelangen , ein Insider-Risiko in überwachungsrelevanten Systemen.
Die Schwachstelle ermöglicht authentifizierten Administratoren den Zugriff auf sensitive Exportschlüssel im Klartext, was ein erhebliches Datenrisiko für Überwachungssysteme darstellt.
Fünf kritische Lücken in UniFi OS Server ermöglichen unbefugten Systemzugriff durch lokal angebundene Angreifer; CVE-2026-34908 mit CVSS-Score 10.0 stellt maximales Risiko dar.
Kali365 umgeht MFA durch Diebstahl von Access- und Refresh-Tokens statt Passwörtern und ermöglicht persistenten Zugriff auf Outlook, Teams und OneDrive ohne wiederholtes Anmelden.
Microsoft-Patch-Tuesday für Mai 2026 mit 137 Schwachstellen, davon 31 kritisch, einschliesslich RCE in Windows Services, Office, Azure und SharePoint , keine aktive Ausnutzung beobachtet.
Die Schwachstelle erfordert bereits erhöhte Admin-Privilegien und beschränkt Schreibzugriff auf unspezifizierte Vektoren, was das praktische Ausnutzungsrisiko für externe Angreifer mindert.
Unit 42 dokumentiert fortgeschrittene AD CS-Missbrauchstechniken zur Eskalation von Berechtigungen durch fehlerhafte Zertifikatvorlagen und PKINIT-basierte Authentifizierungsumgehung, die in nationalen Angriffsgruppen-Kampagnen beobachtet werden.
Die BSI warnt vor einer kritischen Fernausführungs-Schwachstelle in 7-Zip beim Verarbeiten von NTFS-Archiven, die eine Benutzerinteraktion erfordert, aber erhebliche Auswirkungen auf die Sicherheit hat.
BSI-Advisory zu mehreren Schwachstellen in Microsoft Developer Tools ohne spezifische CVE-Nummern oder Exploitationsstatus , typischerweise aggregierte Patch-Information zu laufenden Security Updates.
BSI-Warnung zu mehreren OpenSSL-Schwachstellen ohne spezifische CVE-Referenzen , erfordert Klärung durch direkte BSI-Quelle oder CISA-Abgleich für konkrete Patch-Prioritäten.
SymJack zeigt, dass KI-Coding-Agenten durch manipulierte Symlinks und bösartige Repositories dazu verleitet werden können, attacker-kontrollierte MCP-Server zu installieren und damit CI/CD-Pipelines und Geheimnis-Verwaltung zu kompromittieren.
Die BSI-Warnung dokumentiert eine aktive Bedrohung für in der DACH-Region häufig eingesetzte Synology-NAS-Systeme, ohne dass ein CVE-Identifier verfügbar ist, was auf eine laufende Analyse oder embargo-geschützte Disclosure hindeutet.
BSI warnt vor mehreren undetaillierten Chrome-Schwachstellen ohne Nennung spezifischer CVE-IDs oder Versionsnummern; die genaue Gefährdung bleibt bis zur vollständigen Veröffentlichung unklar.
Die Schwachstelle ermöglicht es einem Angreifer mit Zugriff auf ein nicht-CA-Zertifikat, beliebige Leaf-Zertifikate zu fälschen und damit Server oder Clients in mTLS-Umgebungen zu impersonieren, was eine grundlegende Verletzung der PKI-Vertrauenskette darstellt.
Akira-Intrusion zeigt typisches Muster: initiale Authentifizierung über SSLVPN, Lateral Movement ausschließlich via RDP über zwei Tage, Kerberoasting und Defense Evasion durch Löschen von Event Logs , alle Aktivitäten waren in Standard-Logs sichtbar, erforderten aber proaktive Log-Korrelation zwischen Firewall und Endpoint.
Angreifer kombinieren Suchmaschinen-Poisoning mit KI-Chatbot-Manipulation zur Verbreitung gefälschter Utility-Downloads, die GPU-Mining-Malware über DLL-Sideloading einschleusen , eine Eskalation der Supply-Chain-Sozial-Engineering-Taktik.
Eine hochriskante Schwachstelle in 7-Zip erlaubt das Einschleusen von Schadcode über Archive und erfordert zeitnahe Aktualisierung aller betroffenen Systeme im Unternehmen.
Microsoft kündigt eine automatische Netzwerkisolationsfunktion in Defender an, die bei Angriffserkennungen präventiv Schäden begrenzen soll , eine proaktive Defensive ohne Patch-Charakter.
BSI-Warnung zu mehreren unspezifizierten Linux-Kernel-Schwachstellen ohne konkrete CVE-Nummern erschwert Risikopriorisierung für Organisationen mit Ubuntu-Deployments.
Die Schwachstelle führt zu einem ABBA-Deadlock bei der Dateisystem-Operation und kann zum Hängenbleiben des Systems führen, aber nur unter spezifischen Bedingungen (Blockgröße < Seitengröße).
Keine Änderungen in dieser Kategorie.
Keine Änderungen in dieser Kategorie.
Copy Fail ermöglicht lokale Privilege Escalation durch Manipulation des In-Memory-Cache privilegierter Binärdateien ohne Änderung der Festplattendateien, wodurch Integritätsprüfungen umgangen werden.
Die Schwachstelle erfordert nur minimale Site-Member-Berechtigungen und kann von internen oder kompromittierten Konten ausgenutzt werden, ohne dass erhöhte Administratorrechte notwendig sind , ein Risiko für Manufacturing-Umgebungen mit vielen SharePoint-Nutzern.
Die Schwachstelle ermöglicht willkürliche Code-Ausführung durch manipulierte TIF-Dateien in Autodesk 3ds Max, was für Unternehmen mit Design-Workflows ein Risiko darstellen kann.
Die Schwachstelle ermöglicht Codeausführung über manipulierte WRL-Dateien in einer häufig in Design-Workflows integrierten 3D-CAD-Anwendung, was Risiken für Supply-Chain-Integrität mit SolidWorks/AutoCAD-basierten Prozessen schafft.
Eine Speichercorruption in Autodesk 3ds Max ermöglicht beliebigen Code-Ausführung durch manipulierte WRL-Dateien , relevant für Manufacturing-Umgebungen, in denen 3D-Design-Software mit CAD-Dateien von potenziell untrusted Quellen arbeitet.
Eine unzureichende Längsprüfung in IKE-Paketen mit NAT-T kann zum Absturz des VPN-Dienstes führen; relevant für Manufacturing-Unternehmen, die auf sichere Remote-Zugriffe und VPN-Stabilität für Fernwartung angewiesen sind.
Niederländische Behörden zerschlagen Teile der russischen Cyber-Infrastruktur, die für Angriffe und Desinformationskampagnen gegen den Westen genutzt wird , ein Indikator für anhaltende russische Operationen gegen DACH und EU.
Eine Schwachstelle in Fortinets Identity-Awareness-Blade ermöglicht es unauthentifizierten Benutzern, interne Dateien auf dem Security Gateway auszulesen, wenn browsergestützte Authentifizierung aktiviert ist.
Der iranische APT Nimbus Manticore setzt Operationen mit aktualisierten Werkzeugen fort und zielt dabei auf kritische Sektoren wie Luftfahrt und Software ab , ein Indiz für anhaltende staatliche Cyber-Kriegsführung mit möglichen Auswirkungen auf europäische Lieferketten.
MuddyWater nutzt legitime Software-Binäre (Fortemedia, SentinelOne) für DLL-Sideloading-Angriffe und zielt aktiv auf Industrieunternehmen, Flughäfen und Finanzdienstleister in neun Ländern ab , eine direkte Bedrohung für europäische Fertigungsbetriebe.
Ermittler unterbrachen eine russische Cyberangriffs- und Desinformationsinfrastruktur in der EU , Signal für fortgesetzte state-sponsored Operationen gegen Westeuropa.
Nimbus Manticore nutzt gezielte Phishing- und SEO-Poisoning-Kampagnen zur Verteilung von benutzerdefinierten Malware-Varianten gegen europäische Luft- und Softwareunternehmen als unmittelbare Reaktion auf geopolitische Eskalation.
Die Zerschlagung von Bulletproof-Hosting-Services in den Niederlanden signalisiert verstärkte europäische Maßnahmen gegen die Cyber-Infrastruktur russischer Bedrohungsakteure und kann die Verfügbarkeit von Hosting-Ressourcen für APT-Kampagnen gegen DACH-Unternehmen beeinträchtigen.
Deutsche Infrastruktur ist 2025 erneut intensiv von Cyber-Extortion betroffen , Ransomware-Gruppen haben ihre Fokussierung auf DACH-Region reaktiviert, ähnlich den Spitzenwerten von 2022,2023.
Unauthentikter Remote-Code-Execution ohne Authentifizierung auf Canon-Multifunktionsdruckern über BJNP-Protokoll mit CVSS 8.8 , unmittelbare Gefährdung für Unternehmensdruckerflotten.
Unauthenticated remote code execution in Canon MFP devices used for document scanning and network printing creates a direct entry point for lateral network movement without requiring user credentials.
Neu entdeckte Schwachstelle in Canon imageCLASS MF654Cdw mit hohem CVSS-Rating (8.8), die von netzwerk-benachbarten Angreifern ohne Authentifizierung ausgenutzt werden kann.
Unauthentizierte Fernausführung von Code auf Canon-Multifunktionsdrucker ohne Authentifizierung möglich; Patch erforderlich.
Dieses Pwn2Own-Exploit demonstriert eine kritische Schwachstelle in Canon-Druckern, die ohne Authentifizierung von netzwerknahen Angreifern ausgenutzt werden kann und direkten Zugriff auf ein weit verbreitetes Peripheriegerät im Firmennetz ermöglicht.
Obwohl 3ds Max nicht verwendet wird, zeigt die Schwachstelle ein Muster in der Autodesk-Produktfamilie, das auch AutoCAD und andere Design-Tools betreffen könnte.
Use-After-Free im Windows NDIS-Treiber ermöglicht lokale Rechteerweiterung mit CVSS 7.8 auf Systemen, wo bereits Code-Ausführung möglich ist.
Lokale Rechteerweiterung in FortiClient erfordert vorherige Code-Ausführung mit niedrigen Privilegien und betrifft ein Kernprodukt der Sicherheitsinfrastruktur.
Eine CVSS-8.8-RCE-Schwachstelle in FortiWeb erfordert Authentifizierung und sollte priorisiert werden, sobald ein Fix vorliegt.
BSI hat eine kritische Codeausführungs-Schwachstelle in SharePoint Server 2016/2019 gewarnt, die von authentifizierten Remoteangreifern ausgenutzt werden kann und sofortige Patches erfordert.
Eine BSI-Warnung zu Privilegieneskalationen in Entra ID und Azure Resource Manager signalisiert eine oder mehrere kritische Schwachstellen in zentralen Microsoft-Cloud-Identitätsdiensten, die unmittelbar auf Unternehmens-IT mit hybrider AD/Entra-Integration wirken.
KI-Assistenten mit Zugriff auf unternehmensweite Datenbestände sind attraktive Ziele für State-Sponsored-Actors, die über RCE Zugang zu sensiblen Informationen oder Systemen gewinnen könnten.
Lokale Privilege-Escalation in Windows win32kfull erfordert zunächst Code-Ausführung auf dem Zielsystem; Patch priorisieren für alle Windows-Server und -Endpoints.
Race condition in afd.sys ermöglicht lokale Rechteerweiterung mit CVSS 7.8; betrifft Windows Server 2022 und 2019 Systeme, die für Active Directory und Domänen-Authentifizierung kritisch sind.
Lokale Privilege-Escalation in Windows-Kernelkomponente win32full erfordert bereits Code-Execution mit niedriger Berechtigung als Angriffsvorbedingung.
Lokale Privilege-Escalation in Windows win32full mit CVSS 7.8 erfordert vorherige Code-Ausführung mit niedrigen Rechten; relevant für Manufacturing-Umgebungen mit Client- und Server-Endpoints.
Lokale Privilege-Escalation in win32kfull erfordert vorherige Code-Ausführung mit niedriger Berechtigung; Patching ist notwendig, um Lateral-Movement nach lokalem Fuß-Fassen zu verhindern.
Eine Zustandsprüfungs-Schwachstelle ermöglicht es Angreifern, die Zwei-Faktor-Authentifizierung zu umgehen , was ein kritisches Risiko für alle AD/Entra-ID-gestützten Systeme darstellt.
Eine Schwachstelle im State-Management ermöglicht es, Zwei-Faktor-Authentifizierung zu umgehen , potentiell ein Angriffsziel für staatliche Akteure zur Initial-Access-Gewinnung.
BSI-Warnung zu kritischer IKE-Schwachstelle in Windows VPN-Infrastruktur erfordert unmittelbare Aufmerksamkeit für VPN-Gateways und Remote-Access-Systeme.
Die Kompromittierung mehrerer Versionen eines populären PHP-Pakets deutet auf gezielte Supply-Chain-Attacke hin, bei der Infostealer-Malware über das Dependency-Management verbreitet wird.
Angreifer mit gültigen Zugangsdaten können durch wiederholte MFA-Push-Benachrichtigungen Benutzer zum Akzeptieren der Authentifizierung nötigen, ohne selbst den zweiten Faktor zu besitzen.
BSI-Warnung zu einer Privilegieneskalationslücke in TeamViewer betrifft ein kritisches Remote-Access-Tool in der Manufacturing-IT-Infrastruktur des Unternehmens.
Die Schwachstelle ermöglicht nicht-priviligierten authentifizierten Benutzern Remote Code Execution ohne Administratorrechte auszuführen, was SharePoint als bevorzugtes Angriffsziel für Insider-Bedrohungen und APTs exponentiell risikoreicher macht.
Bisher unbekannte Pheno-Plugin nutzt Windows Phone Link aus, um OTPs und SMS direkt vom PC aus abzufangen, ohne Malware auf dem Smartphone zu installieren , eine neue Angriffstechnik gegen MFA-Systeme.
Microsoft erweitert Defender for Endpoint um automatisierte Isolation kompromittierter Endpoints zur Eindämmung von Lateral-Movement-Angriffen , eine defensive Capability ohne neue Schwachstelle oder aktiven Angriff.