68

Aktiv ausgenutzte Enterprise-CVEs: Fokus der letzten 7 Tage

Veröffentlicht am von
23
Feb.

Aktiv ausgenutzte Enterprise-CVEs: Fokus der letzten 7 Tage

Die vergangenen sieben Tage zeigen ein klares Lagebild für Unternehmen: Priorität haben nicht „die neuesten“ Meldungen, sondern nachweislich aktiv ausgenutzte Schwachstellen mit hoher technischer Schwere und direkter Betriebsrelevanz. Auf Basis von CISA KEV, NVD/CVE und Herstellerbulletins stechen vor allem fünf Themen heraus: zwei Roundcube-Fälle in produktiven Mail-Umgebungen, eine kritische Hardcoded-Credentials-Lücke in Dell RecoverPoint for VMs, ein aktiv ausgenutzter Chromium-Fehler auf Endpunkten sowie eine wieder operativ relevante Windows-Altkomponente über ActiveX/ATL.

Methodik: Berücksichtigt wurden nur verifizierte Quellen. Inhaltlich priorisiert dieser Beitrag Schwachstellen mit bestätigter aktiver Ausnutzung (KEV), CVSS ≥ 8.0 und klarer Enterprise-Auswirkung auf Verfügbarkeit, Integrität, Zugangskontrolle oder Wiederanlauffähigkeit.

Inhaltsverzeichnis

#1 Roundcube RCE (CVE-2025-49113): kritische Mail-Infrastruktur unter Druck

CISA hat CVE-2025-49113 am 20.02.2026 in den KEV-Katalog aufgenommen. Damit ist die aktive Ausnutzung offiziell bestätigt. Technisch handelt es sich um eine Deserialisierungs-Schwachstelle in Roundcube Webmail, die laut NVD API in betroffenen Versionen Remote Code Execution für authentifizierte Nutzer ermöglichen kann. Die Schwere ist hoch bis kritisch bewertet (NVD: CVSS 8.8, zusätzliche CNA-Bewertung 9.9).

Für Unternehmen ist das besonders heikel, weil Webmail-Systeme oft internetnah betrieben werden und gleichzeitig eng mit Identitäten, Kommunikationshistorie und internen Workflows verknüpft sind. Bereits ein kompromittiertes Konto kann ausreichen, um Persistenz auf dem Mail-Host zu etablieren, vertrauliche Kommunikation abzuschöpfen oder weitere Systeme im gleichen Segment anzugreifen. Hinzu kommt: Mail-Umgebungen sind in vielen Betrieben geschäftskritisch. Ein erfolgreicher Angriff trifft daher nicht nur Security-Kennzahlen, sondern auch direkte operative Abläufe.

Priorisierte Maßnahmen: sofortiger Versionsabgleich gegen Hersteller-Fixstände, Härtung von Authentisierung (MFA, Session-Kontrollen), Auswertung von Upload- und Admin-Aktivitäten im relevanten Zeitfenster sowie gezielte Suche nach Webshell- und Prozessanomalien auf den betroffenen Hosts.

#2 Dell RecoverPoint for VMs (CVE-2026-22769): Root-Persistenz über Hardcoded Credentials

Die aus Enterprise-Sicht kritischste Entwicklung im betrachteten Zeitraum ist CVE-2026-22769. CISA listet den Fall seit 18.02.2026 in KEV, NVD bewertet mit CVSS 10.0. Laut Dell Advisory DSA-2026-079 betrifft die Schwachstelle RecoverPoint for Virtual Machines in Versionen vor 6.0.3.1 HF1. Ursache sind fest eincodierte Zugangsdaten, die einem nicht authentifizierten Remote-Angreifer unautorisierten Zugriff bis hin zur Root-Persistenz ermöglichen können.

Gerade Backup-, Replikations- und Recovery-Komponenten sind in Incident-Szenarien „Kronjuwelen“ der Betriebsfähigkeit. Wird diese Schicht kompromittiert, steigt das Risiko für doppelte Schäden: Primärsysteme können angegriffen werden, während zugleich Wiederanlaufpfade manipuliert oder sabotiert werden. Entsprechend ist dieser Fall nicht nur ein klassisches Patch-Thema, sondern ein Business-Continuity-Risiko.

Operativ bedeutet das: betroffene RP4VM-Instanzen umgehend inventarisieren, Herstellermaßnahmen priorisiert umsetzen, Management-Zugänge und Netzwerkreichweite restriktiv begrenzen sowie nachträglich auf unbekannte Accounts, geänderte Konfigurationen und anomale Root-Aktivität prüfen.

#3 Chromium UAF (CVE-2026-2441): aktiv ausgenutzter Endpoint-Einstieg

CVE-2026-2441 wurde am 17.02.2026 in KEV aufgenommen und ist laut NVD mit CVSS 8.8 als hoch eingestuft. Der Fehler betrifft eine Use-after-Free-Schwachstelle in der CSS-Verarbeitung von Chromium/Chrome. In der Praxis heißt das: präparierte Webseiten oder Webinhalte können als Initialzugang dienen – ein Muster, das in vielen realen Angriffsketten wiederkehrt.

Die Enterprise-Relevanz ist hoch, weil Browser quer durch alle Rollen genutzt werden: Office, IT, Admin, externe Dienstleister. Selbst wenn Ausführung zunächst im Sandbox-Kontext erfolgt, kann sie in Kombination mit weiteren Techniken zu Datendiebstahl, Session-Missbrauch oder Folgeangriffen auf Endpoint-Ebene führen. Zusätzlich wirkt die hohe Verbreitung Chromium-basierter Browser als Multiplikator über heterogene Endpunktlandschaften hinweg.

Wichtig ist deshalb nicht nur ein schneller Rollout, sondern ein verifizierter Rollout: Welche Clients sind tatsächlich aktualisiert? Wo hängen Ring-Deployments? Welche Sonderumgebungen (VDI, Kiosk, Legacy-Images) sind zurückgeblieben? Parallel sollte EDR-Telemetrie auf auffällige Browser-Folgeprozesse und verdächtige Child-Process-Ketten geprüft werden.

#4 Windows ActiveX/ATL (CVE-2008-0015): alte Schwachstelle, neue operative Priorität

Mit CVE-2008-0015 zeigt der aktuelle Zeitraum ein wichtiges Muster: „alt“ bedeutet nicht „irrelevant“. CISA hat die Schwachstelle am 17.02.2026 in KEV aufgenommen. NVD führt weiterhin eine hohe Schwerebewertung (CVSS 8.8 über v3.1-Metrik; historisch v2 9.3). Inhaltlich geht es um eine Remote-Code-Execution-Problematik im Kontext von ActiveX/ATL-Komponenten, dokumentiert u. a. im Microsoft-Bulletin MS09-037.

Für Unternehmen mit Altlasten, Spezialanwendungen oder unvollständig modernisierten Arbeitsplatzbildern ist das mehr als ein historischer Sonderfall. Solche Komponenten bleiben häufig in Nischen aktiv und werden erst im Incident sichtbar. Sobald aktive Ausnutzung bestätigt ist, zählt nicht das Alter der CVE, sondern die tatsächliche Exposition im eigenen Bestand.

Empfehlung: gezielte Identifikation von Legacy-Abhängigkeiten, restriktive Browser- und Zonenrichtlinien, Deaktivierung nicht benötigter Altkomponenten sowie Segmentierung besonders risikobehafteter Systeme. Wo kurzfristige Ablösung nicht möglich ist, sind compensating controls und enges Monitoring Pflicht.

#5 Zimbra SSRF (CVE-2020-7796): Groupware als Pivot-Risiko

CVE-2020-7796 wurde ebenfalls am 17.02.2026 in KEV aufgenommen. NVD bewertet den Fall mit CVSS 9.8 (kritisch). Betroffen ist Zimbra Collaboration Suite vor 8.8.15 Patch 7 in bestimmten Konstellationen (u. a. mit WebEx zimlet/JSP-Komponenten). Technisch handelt es sich um SSRF, operativ aber um mehr: potenziellen Zugriff auf interne Ressourcen über eine exponierte Kommunikationsplattform.

In modernen Unternehmensnetzen fungiert Groupware als zentrale Drehscheibe für Identitäten, Termine, Kontakte und interne Kommunikation. Wenn SSRF in dieser Schicht ausnutzbar ist, kann sie als Brücke in eigentlich abgeschirmte Bereiche dienen. Das ist besonders kritisch in Umgebungen mit schwacher Egress-Kontrolle oder wenig restriktiven internen Freigaben.

Priorität haben daher ein klarer Patchnachweis auf allen Zimbra-Knoten, die Einschränkung unnötiger serverseitiger ausgehender Verbindungen sowie Log- und Proxy-Analysen auf ungewöhnliche interne Request-Muster aus dem Mailsegment.

#6 Was Unternehmen jetzt in 48 Stunden umsetzen sollten

1) Exploited-first statt CVSS-only: KEV-gelistete Fälle mit CVSS ≥ 8 sofort in eine beschleunigte Remediation-Queue übernehmen – inklusive technischer und fachlicher Verantwortung pro Asset-Gruppe.

2) Internetnahe Kernsysteme zuerst: Mail, Recovery, Remote-Management und Browser-Flotten priorisieren. Wo Patches nicht sofort möglich sind: Angriffsfläche temporär reduzieren (Access-Restriktion, Segmentierung, Admin-Zugänge limitieren).

3) Verifikation statt Ticket-Abschluss: Erfolg nicht am „Job done“, sondern am realen Zustand messen: Version, Dienststatus, Telemetrie, Nebensysteme, Ausnahmen.

4) Rückwirkende Prüfung (mind. 7 Tage): Für die genannten CVEs gezielt auf Kompromittierungsindikatoren suchen (ungewöhnliche Authentisierung, neue Persistenzartefakte, anomale Prozessketten, verdächtige interne Requests).

5) Management-tauglicher Lagebericht: Kurzbericht je Thema mit Status „betroffen/nicht betroffen“, Umsetzungsgrad, Restrisiko und nächstem Meilenstein. Das beschleunigt Entscheidungen und verhindert operative Reibung.

#7 Quellen & SEO-Block

  • CISA – Known Exploited Vulnerabilities Catalog (Einträge mit Date Added 17.–20.02.2026): https://www.cisa.gov/known-exploited-vulnerabilities-catalog (abgerufen: 23.02.2026)
  • CISA Alert – Adds Two Known Exploited Vulnerabilities (Roundcube): https://www.cisa.gov/news-events/alerts/2026/02/20/cisa-adds-two-known-exploited-vulnerabilities-catalog (veröffentlicht: 20.02.2026; abgerufen: 23.02.2026)
  • NVD API – CVE-2025-49113: https://services.nvd.nist.gov/rest/json/cves/2.0?cveId=CVE-2025-49113 (lastModified: 20.02.2026; abgerufen: 23.02.2026)
  • NVD API – CVE-2026-22769: https://services.nvd.nist.gov/rest/json/cves/2.0?cveId=CVE-2026-22769 (published: 17.02.2026; abgerufen: 23.02.2026)
  • Dell Security Advisory DSA-2026-079: https://www.dell.com/support/kbdoc/en-us/000426773/dsa-2026-079 (abgerufen: 23.02.2026)
  • NVD API – CVE-2026-2441: https://services.nvd.nist.gov/rest/json/cves/2.0?cveId=CVE-2026-2441 (lastModified: 20.02.2026; abgerufen: 23.02.2026)
  • NVD API – CVE-2008-0015: https://services.nvd.nist.gov/rest/json/cves/2.0?cveId=CVE-2008-0015 (lastModified: 18.02.2026; abgerufen: 23.02.2026)
  • Microsoft Security Bulletin MS09-037: https://learn.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-037 (abgerufen: 23.02.2026)
  • NVD API – CVE-2020-7796: https://services.nvd.nist.gov/rest/json/cves/2.0?cveId=CVE-2020-7796 (lastModified: 18.02.2026; abgerufen: 23.02.2026)
  • Zimbra Releases – 8.8.15 Patch 7: https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P7 (abgerufen: 23.02.2026)
  • BSI Pressebild (Featured Image): https://www.bsi.bund.de/SharedDocs/Bilder/DE/Pressebilder_download/IT-Lagezentrum_1.jpg?__blob=poster&v=3 (abgerufen: 23.02.2026)

META-TITLE: Aktiv ausgenutzte Enterprise-CVEs: 5 Prioritäten diese Woche

META-DESCRIPTION: Threat-Intel-Update (letzte 7 Tage): aktiv ausgenutzte Schwachstellen mit CVSS ≥ 8 in Roundcube, Dell RecoverPoint, Chromium, Windows und Zimbra – inklusive 48h-Maßnahmenplan.

URL-SLUG: aktiv-ausgenutzte-enterprise-cves-kw9-2026

Keywords: CISA KEV, CVE-2025-49113, CVE-2026-22769, CVE-2026-2441, CVE-2008-0015, CVE-2020-7796, Enterprise Security, Vulnerability Management, Patch Management

Dieser Eintrag wurde veröffentlicht am 68. Setze ein Lesezeichen auf den permalink.

    🎉

    BLACKSOC

    MDR Security

    24/7 Managed Detection & Response

    Endpoint Security
    Sophos Intercept X Advanced
    Sophos Intercept X with XDR
    BLACKSOC Elite XDR/MDR
    Server & Firewall
    Sophos Server Protection
    Sophos XGS Firewalls
    E-Mail & PhishThreat
    Sophos Email Advanced
    Sophos Email Monitoring
    Sophos Phish Threat
    Schulungen
    Security Awareness
    DSGVO
    Workshops & Webinare
    Alle Produkte ansehen →

    Security

    Operations Center

    Ihr Partner für Cybersecurity

    Managed Services
    Managed Detection & Response
    SIEM & SOAR
    Endpoint & Network Security
    Consulting
    Security Strategy
    Compliance & Audit
    Risk Assessment
    Professional Services
    Penetration Tests
    Schulungen
    Infrastruktur
    Haben Sie Fragen zu Produkten oder Services? Wir helfen gerne!
    Buchen Sie einen Termin