Aktiv ausgenutzte High-Severity-CVEs: Microsoft & SolarWinds

Aktiv ausgenutzte High-Severity-Schwachstellen: Microsoft & SolarWinds (letzte 7 Tage)

In den letzten Tagen sind mehrere aktiv ausgenutzte Schwachstellen mit CVSS ≥ 8 in den Fokus gerückt, die in Enterprise-Umgebungen besonders relevant sind: Windows/Office-nahe Angriffspfade (MSHTML/Windows Shell) sowie ein kritischer Fix-Zyklus rund um SolarWinds Web Help Desk. Dieser Artikel fasst die wichtigsten Punkte für Security-Teams zusammen: betroffene Komponenten, Angriffswege, Priorisierung und konkrete Härtungs-/Patch-Schritte.

Scope/Methodik: Nur verifizierte Primärquellen (CISA KEV, MSRC, NVD/CVE, Hersteller-Bulletins). Keine Spekulationen, keine unbestätigten Aussagen.

---

Inhaltsverzeichnis

• #1 Microsoft Windows Shell / MSHTML: Security Feature Bypass (CVE-2026-21510, CVE-2026-21513) – aktiv ausgenutzt, CVSS 8.8
• #2 Microsoft Configuration Manager: Remote Code Execution (CVE-2024-43468) – KEV, CVSS 9.8
• #3 SolarWinds Web Help Desk: Security Control Bypass (CVE-2025-40536) – KEV, CVSS 8.1
• #4 Sofort-Checkliste für Enterprise-Defender (Priorisierung, Detection, Rollout)
• #5 Quellen
• #6 SEO-Block

#1 Microsoft Windows Shell / MSHTML: Security Feature Bypass (CVE-2026-21510, CVE-2026-21513) – aktiv ausgenutzt, CVSS 8.8

Was ist passiert? Microsoft bewertet zwei Schwachstellen als Exploitation Detected (Ausnutzung erkannt). Beide betreffen Schutzmechanismen in Windows-Komponenten, die bei erfolgreicher Ausnutzung Sicherheitsabfragen bzw. Schutzfunktionen umgehen können. Laut CISA wurden beide CVEs in den KEV-Katalog aufgenommen (Nachweis aktiver Ausnutzung).

• CVE-2026-21510 – Windows Shell Security Feature Bypass, CVSS 3.1 Base 8.8, Status bei Microsoft: Exploitation Detected.
• CVE-2026-21513 – MSHTML Framework Security Feature Bypass, CVSS 3.1 Base 8.8, Status bei Microsoft: Exploitation Detected.

Warum ist das für Unternehmen relevant? Feature-Bypass-Bugs werden in realen Angriffsketten häufig als Initial Access / Execution Enabler genutzt: Sie reduzieren die Reibung für den Angreifer (z. B. Umgehung von Warn- oder Schutzdialogen) und erhöhen die Erfolgsquote von Phishing-/Drive-by-Szenarien. Besonders kritisch ist, dass – laut MSRC – bei CVE-2026-21510 und CVE-2026-21513 User-Interaktion typischerweise erforderlich ist (UI:R), was sie direkt an E-Mail-/Web-Workflows koppelt.

Typischer Angriffsweg (aus MSRC-FAQ ableitbar): Angreifer verleiten Nutzer zum Öffnen einer manipulierten HTML-Datei oder eines .lnk-Shortcuts (Link, Attachment, Download). Das Ziel ist nicht zwingend allein der Bypass selbst, sondern die Ermöglichung weiterer Schritte (z. B. ungewolltes Ausführen von Inhalten/Code im Kontext des Benutzers).

Maßnahmen / Mitigation:

• Patchen priorisieren: Rollout nach Ringen, aber schneller als Standard-Patchzyklen (KEV + Exploitation Detected).
• Attachment-/Download-Härtung: Mark-of-the-Web (MOTW) nicht entfernen; Web/Email-Gateways auf verdächtige .lnk/.html-Payloads und Archive prüfen.
• ASR/EDR-Policies: Regeln gegen Office-/Script-Child-Processes, LNK-from-Internet, und suspicious HTML/HTA/Script-Execution prüfen und wo möglich verschärfen.
• Detection: Telemetrie auf ungewöhnliche LNK-Ausführungen, mshta/rundll32-Missbrauch, sowie Download->Execution Ketten (Proxy/EDR Korrelationsregeln).

#2 Microsoft Configuration Manager: Remote Code Execution (CVE-2024-43468) – KEV, CVSS 9.8

Kernaussage: Eine kritische Remote-Code-Execution-Schwachstelle in Microsoft Configuration Manager (ConfigMgr) wurde von CISA in den KEV-Katalog aufgenommen. Microsoft weist eine CVSS 3.1 Base Score von 9.8 aus. Damit ist das ein klarer Kandidat für sofortige Priorisierung, insbesondere wenn ConfigMgr-Server exponierte oder schlecht segmentierte Kommunikationspfade haben.

• CVE-2024-43468 – Microsoft Configuration Manager Remote Code Execution, CVSS 9.8 (Microsoft), KEV (CISA).

Was ist der Angriffsvektor? Laut MSRC kann ein unauthenticated Angreifer über speziell gestaltete Requests eine unsichere Verarbeitung auslösen, die die Ausführung von Befehlen auf Server/DB ermöglichen kann. In Enterprise-Netzen ist ConfigMgr zudem ein High-Value Target: kompromittiert er, drohen lateral movement, Software-Deployment-Missbrauch und flächige Auswirkungen.

Was ist zu tun (konkret, vendor-konform)?

• In-Console Update installieren: Microsoft nennt explizit ein in-console update als Schutzmaßnahme.
• Exposure minimieren: Management-/Client-Kommunikation segmentieren, unnötige Erreichbarkeit aus fremden Netzen entfernen, Firewall-Regeln restriktiv prüfen.
• Post-Update Verifikation: Versions-/Hotfix-Stand erfassen (CMDB), Patch-Rollout dokumentieren, nach Abschluss gezielte Scans/Health-Checks.
• Threat Hunting: Verdächtige Requests/Logs an ConfigMgr-Rollen, unübliche DB-Aktivität, neue/ungewöhnliche Admin-Accounts, sowie plötzliche Deployment-Änderungen untersuchen.

#3 SolarWinds Web Help Desk: Security Control Bypass (CVE-2025-40536) – KEV, CVSS 8.1

Kernaussage: SolarWinds hat mit Web Help Desk 2026.1 mehrere CVEs adressiert. Darunter ist CVE-2025-40536 (Security Control Bypass), die von CISA als bekannt ausgenutzt geführt wird. In den offiziellen Release Notes wird die Schwachstelle mit 8.1 (High) bewertet.

• CVE-2025-40536 – SolarWinds Web Help Desk Security Control Bypass, 8.1 High (SolarWinds), KEV (CISA).

Warum ist das wichtig? Ticketing-/Helpdesk-Systeme sind in vielen Unternehmen zentral (User-Identitäten, Asset-Daten, Integrationen, Credentials/Keys in Workflows). Ein Control-Bypass kann – je nach Deployment – als Einstieg dienen oder zumindest privilegierte Funktionen zugänglich machen. Kritisch ist zudem: Im selben Release werden weitere WHD-CVEs mit 9.8 (Critical) aufgeführt – auch wenn diese (Stand dieser Woche) nicht alle im KEV-Katalog stehen, sollten Security-Teams das Release als Patch-Bundle betrachten und nicht nur die eine CVE isoliert patchen.

Maßnahmen:

• Upgrade auf WHD 2026.1 (oder höher) gemäß SolarWinds Guidance.
• Internet-Exposure vermeiden: WHD nach Möglichkeit nicht direkt aus dem Internet erreichbar machen; VPN/Zero-Trust-Proxy vorschalten.
• Least Privilege: Service-Accounts, DB-Rechte, Integrations-Tokens prüfen; Secrets rotieren, falls Kompromittierungsverdacht.
• Monitoring: Auth-/Admin-Events, ungewöhnliche API-/Web-Zugriffe, neue Nutzer/Techniker-Accounts, und anomale Ticket-Exports beobachten.

#4 Sofort-Checkliste für Enterprise-Defender (Priorisierung, Detection, Rollout)

1. Priorisieren nach Exploitation + CVSS + Asset-Value
   • ConfigMgr (CVE-2024-43468, 9.8) – High-Value Infra.
   • Windows Shell / MSHTML (CVE-2026-21510/21513, je 8.8) – breitflächige Endpoints, Phishing-Nähe.
   • SolarWinds WHD (CVE-2025-40536, 8.1) – zentrale Service-Plattform + potentiell mehrere kritische Fixes im gleichen Release.
2. Patch-Rollout taktisch
   • Server/Management-Systeme zuerst (ConfigMgr/WHD), dann Endpoints (Windows).
   • Ring-Rollout (Pilot → Breite), aber beschleunigt (KEV).
3. Detections scharf stellen
   • Mail/Web: LNK/HTML-Attachments und verdächtige Downloads, MotW-Bypass-Anzeichen.
   • EDR: LNK->Script/LOLBin-Ketten (mshta, rundll32, regsvr32) und anomalous parent/child relationships.
   • Server: WHD/ConfigMgr Logs, neue Admins, unübliche Requests/DB-Aktivität.
4. Kommunikation
   • IT Ops + SOC kurz synchronisieren: welche Systeme betroffen, wann Patchfenster, welche Detection-Regeln temporär verschärft.
   • Change/Incident-Readiness: falls Hinweise auf aktive Ausnutzung im eigenen Netz – Incident Response Playbook aktivieren.

#5 Quellen

• CISA – Known Exploited Vulnerabilities Catalog (CatalogVersion 2026.02.13, dateReleased 2026-02-13): https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json (abgerufen 2026-02-15)
• Microsoft Security Update Guide API – CVE-2026-21510 (Release 2026-Feb, exploited: Yes, baseScore 8.8): https://api.msrc.microsoft.com/sug/v2.0/en-US/vulnerability/CVE-2026-21510 (abgerufen 2026-02-15)
• Microsoft Security Update Guide API – CVE-2026-21513 (Release 2026-Feb, exploited: Yes, baseScore 8.8): https://api.msrc.microsoft.com/sug/v2.0/en-US/vulnerability/CVE-2026-21513 (abgerufen 2026-02-15)
• Microsoft Security Update Guide API – CVE-2024-43468 (baseScore 9.8): https://api.msrc.microsoft.com/sug/v2.0/en-US/vulnerability/CVE-2024-43468 (abgerufen 2026-02-15)
• SolarWinds – WHD 2026.1 Release Notes (Last updated 2026-02-10; Fixed CVEs inkl. CVE-2025-40536 Severity 8.1): https://documentation.solarwinds.com/en/success_center/whd/content/release_notes/whd_2026-1_release_notes.htm (abgerufen 2026-02-15)
• SolarWinds Trust Center Advisory (CVE-2025-40536): https://www.solarwinds.com/trust-center/security-advisories/cve-2025-40536 (abgerufen 2026-02-15)
• NVD – CVE-2025-40536: https://nvd.nist.gov/vuln/detail/CVE-2025-40536 (abgerufen 2026-02-15)
• BSI Pressebild (Featured Image): https://www.bsi.bund.de/SharedDocs/Bilder/DE/Pressebilder_download/IT-Lagezentrum_1.jpg?__blob=poster&v=3 (abgerufen 2026-02-15)

#6 SEO-Block

META-TITLE: Aktiv ausgenutzte High-Severity-CVEs: Microsoft & SolarWinds (KW 7)

META-DESCRIPTION: Aktuelle Threat-Intel-Zusammenfassung (letzte 7 Tage): aktiv ausgenutzte Schwachstellen mit CVSS ≥ 8 in Microsoft Windows/ConfigMgr und SolarWinds Web Help Desk – inkl. Priorisierung und Patch-Checkliste.

URL-SLUG: aktiv-ausgenutzte-cves-microsoft-solarwinds-kw7-2026

Keywords: CISA KEV, aktiv ausgenutzt, CVSS 9.8, CVE-2024-43468, CVE-2026-21513, CVE-2026-21510, CVE-2025-40536, Microsoft Patch Tuesday, SolarWinds Web Help Desk, Configuration Manager, MSHTML, Windows Shell