Windows: Kritische Sicherheitslücke wieder aktiv ausgenutzt

Die US-Behörde CISA schlägt Alarm: Eine bereits 2021 entdeckte Windows-Schwachstelle wird erneut massiv für Cyberangriffe genutzt. Besonders Ransomware-Gruppen haben die Lücke für sich entdeckt.

Die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) warnt diese Woche eindringlich vor der aktiven Ausnutzung einer hartnäckigen Sicherheitslücke in Microsoft Windows. Die Schwachstelle im Kern des Betriebssystems ermöglicht es Angreifern, ihre Zugriffsrechte zu erweitern und die vollständige Kontrolle über kompromittierte Systeme zu erlangen. Cyberkriminelle setzen die Lücke verstärkt in Ransomware-Kampagnen ein.

Am Montag fügte CISA die Schwachstelle CVE-2021-43226 zu ihrem Katalog bekannter ausgenutzer Sicherheitslücken hinzu. Diese Maßnahme signalisiert ein erhebliches Risiko für Bundesbehörden und private Unternehmen gleichermaßen. Die Lücke befindet sich im Windows Common Log File System (CLFS), einer grundlegenden Komponente für die Verwaltung von System- und Anwendungsprotokollen.

Microsoft hatte die Schwachstelle bereits Ende 2021 entdeckt und gepatcht. Doch aktuelle Erkenntnisse zeigen einen dramatischen Anstieg ihrer Nutzung durch Cyberkriminelle – Grund genug für die Bundesbehörde, erneut höchste Alarmstufe auszurufen.

So funktioniert der Angriff

CVE-2021-43226 ermöglicht es Angreifern, die bereits Zugang zu einem lokalen System erhalten haben, ihre Benutzerrechte auf Administratorebene zu erweitern. Selbst mit grundlegenden Nutzerrechten können sie die Sicherheitskontrollen umgehen und sich SYSTEM-Level-Zugriff verschaffen – das entspricht praktisch der vollständigen Kontrolle über das gesamte Gerät.

Sicherheitsexperten erklären den Mechanismus: Der CLFS-Treiber verarbeitet nutzereigene Daten fehlerhaft, was zu einem Pufferüberlauf führt. Angreifer können diese Schwäche ausnutzen, um beliebigen Code mit höchsten Systemrechten auszuführen.

Diese Art von Sicherheitslücke bildet ein entscheidendes Glied in der Angriffskette. Cyberkriminelle verschaffen sich zunächst über weniger kritische Wege Zugang – etwa durch Phishing-E-Mails oder andere Schwachstellen. Durch die Ausnutzung von CVE-2021-43226 durchbrechen sie dann die Beschränkungen normaler Nutzerrechte und können sich frei im Netzwerk bewegen, Sicherheitssoftware deaktivieren und Ransomware einschleusen.

Anzeige: Apropos Ransomware: Haben Sie einen startfertigen Rettungs‑USB zur Hand? Der kostenlose Ratgeber erklärt Schritt für Schritt, wie Sie einen Windows‑11‑Boot‑Stick erstellen – um kompromittierte Rechner zu starten, Reparaturen durchzuführen oder Windows sauber neu aufzusetzen. Ideal als Notfall‑Plan für Admins und Privatanwender. Jetzt den Gratis‑Report „Windows 11 Boot‑Stick erstellen“ sichern

Weitreichende Bedrohung für Millionen Systeme

Die Schwachstelle betrifft eine breite Palette von Microsoft-Betriebssystemen: Windows 10, Windows 11 sowie Server-Editionen wie Windows Server 2016, 2019 und 2022. Diese große Angriffsfläche setzt unzählige Organisationen einem Risiko aus – von kleinen Unternehmen bis hin zu Großkonzernen und Regierungsstellen.

Besonders gefährdet sind Organisationen, die nachlässig bei der Installation von Sicherheitsupdates vorgehen. Ohne zeitnahe Patches kann ein einzelner kompromittierter Arbeitsplatz zum Einfallstor für die Übernahme des gesamten Netzwerks werden.

CISA hat allen Bundesbehörden eine klare Frist gesetzt: Bis zum 27. Oktober 2025 müssen die Microsoft-Sicherheitsupdates installiert sein. Diese Anweisung erfolgt unter der verbindlichen Direktive BOD 22-01, die Bundesbehörden zur schnellen Behebung aktiv ausgenutzer Schwachstellen verpflichtet.

Anzeige: Updates sind Pflicht – Backups ebenso. Das kostenlose Windows‑10‑Startpaket führt Sie durch eine sichere Ersteinrichtung, zeigt versteckte Schutzfunktionen und eine praxistaugliche Backup‑Strategie gegen Ausfälle und Ransomware-Folgen. In klaren Schritten, ohne Fachchinesisch. Windows‑10‑Startpaket jetzt gratis anfordern

Alte Lücken, neue Gefahren

Die Wiederkehr einer jahrelang bekannten Schwachstelle verdeutlicht ein anhaltendes Problem der Cybersicherheit: die Kluft zwischen Patch-Veröffentlichung und flächendeckender Anwendung. Viele Organisationen kämpfen mit dieser „Patch-Latenz“ und schaffen damit Gelegenheitsfenster für Angreifer.

Der aktive Einsatz von CVE-2021-43226 in Ransomware-Kampagnen zeigt, wie Cyberkriminelle bekannte, aber unprognostizierte Schwachstellen systematisch ausnutzen. Sicherheitsexperten betonen: Selbst Organisationen mit begrenzten Ressourcen müssen rigoroses Patch-Management implementieren.

Die Aufnahme in den KEV-Katalog wird voraussichtlich zu verstärkten Angriffsversuchen führen, da die Information nun breiter zugänglich ist. IT-Teams sollten daher unverzüglich handeln und ihre Systeme überwachen – denn jedes ungepatchte System ist ein potenzielles Ziel.