Allgemein

Aktive Enterprise-Schwachstellen der Woche

Veröffentlicht am von
19
Feb.

Die letzten sieben Tage haben ein klares Muster gezeigt: Angreifer konzentrieren sich weiterhin auf internetexponierte Enterprise-Systeme mit hohem Impact. Besonders relevant waren in diesem Zeitraum mehrere aktiv ausgenutzte Schwachstellen, die entweder direkte Remote-Code-Ausführung ermöglichen oder sicherheitskritische Schutzmechanismen aushebeln. Für SOC-, IT-Operations- und Vulnerability-Management-Teams heißt das: Priorisierung nicht nur nach CVSS, sondern nach bestätigter Ausnutzung, erreichbarer Angriffsfläche und möglicher lateral movement im Unternehmensnetz.

Inhaltsverzeichnis

1) Dell RecoverPoint (CVE-2026-22769): Kritische Hardcoded Credentials, aktiv ausgenutzt

CVE-2026-22769 ist in mehrfacher Hinsicht ein Top-Risiko für Enterprise-Umgebungen. Laut NVD liegt der CVSS-Score bei 10.0 (Critical). Der Kern des Problems sind fest eincodierte Zugangsdaten (CWE-798) in Dell RecoverPoint for Virtual Machines (RP4VMs), die einem nicht authentifizierten Angreifer den Zugang zum darunterliegenden Betriebssystem bis hin zu Root-Persistenz ermöglichen können.

Besonders brisant: CISA hat die Schwachstelle am 18.02.2026 in den KEV-Katalog aufgenommen, womit eine aktive Ausnutzung als bestätigt gilt. Für Unternehmen mit Recovery- und DR-Infrastruktur ist das kritisch, da solche Systeme oft tief in Virtualisierungs- und Storage-Landschaften integriert sind. Ein erfolgreicher Angriff kann nicht nur ein einzelnes System kompromittieren, sondern potenziell den gesamten Wiederanlaufpfad eines Unternehmens gefährden.

Operative Priorität: sofortige Identifikation aller betroffenen RP4VM-Instanzen, zügiges Einspielen der von Dell bereitgestellten Remediation/Hotfixes sowie Nachprüfung auf unautorisierte Zugriffe. Ergänzend sollten Admin-Zugänge, ausgehende Management-Kommunikation und Persistenzindikatoren (z. B. unbekannte Root-Tasks/Accounts) eng überwacht werden.

2) BeyondTrust RS/PRA (CVE-2026-1731): Pre-Auth RCE mit hoher Enterprise-Relevanz

CVE-2026-1731 betrifft BeyondTrust Remote Support und ältere PRA-Versionen. Die Schwachstelle erlaubt laut NVD die Ausführung von Betriebssystembefehlen ohne Authentisierung (Pre-Auth), CVSS v3.1: 9.8, CVSS v4.0: 9.9. Für Angreifer ist das ein idealer Einstiegspunkt, weil keine gültigen Credentials erforderlich sind und die betroffenen Systeme typischerweise privilegierten Zugriff in Unternehmensumgebungen vermitteln.

Die Schwachstelle wurde am 13.02.2026 in CISA KEV aufgenommen. Damit ist sie nicht nur theoretisch kritisch, sondern praktisch relevant. In vielen Unternehmen sind Remote-Support- und Privileged-Access-Plattformen an zentrale Verwaltungsprozesse angebunden. Eine Kompromittierung kann also direkten Einfluss auf Administration, Incident Response und nachgelagerte Systeme haben.

Für Blue Teams bedeutet das: Patchen/Upgraden priorisiert vorziehen, Internet-Exposition dieser Dienste kurzfristig reduzieren (z. B. über restriktive Access-Policies/VPN-Zwang), sowie Telemetrie auf verdächtige Kommandoausführung im Kontext des Site-Users prüfen. Außerdem sollten kürzlich genutzte privilegierte Sessions im Nachgang retrospektiv untersucht werden.

3) Chromium/Browser-Stack (CVE-2026-2441): Ausnutzbarer Use-after-Free im Client-Footprint

CVE-2026-2441 adressiert einen Use-after-Free-Fehler in der CSS-Verarbeitung von Chromium-basierten Browsern. NVD bewertet die Schwachstelle mit CVSS 8.8. CISA hat sie am 17.02.2026 in den KEV-Katalog aufgenommen. Damit liegt ein klassisches Muster vor: weit verbreitete Client-Software, hohe Verbreitung im Enterprise-Endpoint-Bestand und bestätigte Ausnutzung.

Auch wenn Browser-Lücken häufig zunächst als „Endpoint-Thema“ eingeordnet werden, sind die betrieblichen Auswirkungen regelmäßig unterbewertet. Browser sind primäre Eintrittsvektoren für Initial Access, vor allem bei zielgerichteten Phishing-Kampagnen und Watering-Hole-Szenarien. In Kombination mit unzureichend segmentierten Arbeitsplätzen, lokalen Privilegien oder schwachen EDR-Policies kann ein einzelner erfolgreicher Exploit zur Brücke ins Unternehmensnetz werden.

Priorisierte Maßnahme: flächendeckender Rollout der von Google veröffentlichten Versionen (mindestens 145.0.7632.75/76 je Plattform), inklusive Validierung über Endpoint-Inventory statt reiner Rollout-Bestätigung. Ergänzend sind Browser-Hardening (Isolationsmechanismen, restriktive Extension-Policies) und Awareness-Maßnahmen für erhöhtes Phishing-Risiko sinnvoll.

4) Microsoft Configuration Manager (CVE-2024-43468): zentraler Angriffshebel in großen Umgebungen

CVE-2024-43468 ist zwar älter datiert, wurde jedoch am 12.02.2026 in CISA KEV aufgenommen und ist damit im aktuellen 7-Tage-Fenster operativ hochrelevant. NVD führt einen CVSS-Score von 9.8. Betroffen ist Microsoft Configuration Manager – also eine zentrale Management-Komponente in vielen Unternehmensnetzen.

Genau hier liegt das strategische Risiko: Schwachstellen in zentralen Verwaltungsplattformen wirken als Multiplikator. Gelingt einem Angreifer die Kompromittierung, sind in der Folge großflächige Manipulationen möglich, etwa über verteilte Softwarepakete, Richtlinienänderungen oder Zugriff auf Verwaltungsartefakte. Solche Plattformen sind daher nicht nur „ein weiterer Server“, sondern oft ein Tier-0-naher Kontrollpunkt.

Unternehmen sollten kurzfristig prüfen, welche ConfigMgr-Versionen im Einsatz sind, die von Microsoft im Advisory genannten Updates beschleunigt ausrollen und Admin-Zugriffe auf den kleinsten notwendigen Kreis begrenzen. Parallel empfiehlt sich ein gezielter Hunt auf ungewöhnliche Admin-Operationen und verdächtige Änderungen an Deployment-Objekten.

5) Was Unternehmen jetzt konkret tun sollten (72h-Plan)

1. Exploited-first priorisieren: Alle im KEV-Katalog neu aufgenommenen Schwachstellen der letzten sieben Tage in ein eigenes Fast-Track-Board übernehmen. CVSS bleibt wichtig, aber bestätigte Ausnutzung ist der primäre Triage-Faktor.

2. Internet-Exposition sofort reduzieren: Für BeyondTrust, RecoverPoint und vergleichbare Management-Oberflächen kurzfristig externe Erreichbarkeit minimieren. Wo möglich: IP-Allowlisting, VPN-Zwang, zusätzlicher Zugriffsschutz.

3. Patch + Verifikation koppeln: Nicht nur „ausgerollt“, sondern technisch verifiziert (Version, Hash, erfolgreicher Dienstneustart, Telemetrie ok). Besonders bei Browser- und Agenten-Rollouts sind Abweichungen häufig.

4. Compromise Assessment einplanen: Bei aktiv ausgenutzten Lücken grundsätzlich von möglicher Vor-Komprimittierung ausgehen. Logs auf Auth-Anomalien, neue Persistenzartefakte und ungewöhnliche Admin-Aktivitäten prüfen.

5. Kommunikationskette scharfstellen: SOC, IT-Operations, Plattform-Owner und CISO-Layer sollten für diese Klasse von Schwachstellen ein gemeinsames Lagebild mit festen Eskalationsfenstern (z. B. 24/48/72h) nutzen.

Fazit: Die Entwicklung der letzten Woche bestätigt erneut, dass Angreifer bevorzugt dort ansetzen, wo hohe Privilegien, zentrale Management-Funktionen oder massive Verbreitung zusammentreffen. Unternehmen, die „aktiv ausgenutzt + CVSS≥8 + Enterprise-Funktion“ als harte Priorisierungslogik etablieren, verkürzen ihre Expositionszeit messbar und verbessern gleichzeitig ihre Incident-Resilienz.

Quellen (verifiziert)

  • CISA – Known Exploited Vulnerabilities Catalog (Version 2026.02.18), 18.02.2026: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
  • NVD – CVE-2026-22769 (Dell RecoverPoint), zuletzt geändert 18.02.2026: https://nvd.nist.gov/vuln/detail/CVE-2026-22769
  • Dell Security Advisory DSA-2026-079, 2026: https://www.dell.com/support/kbdoc/en-us/000426773/dsa-2026-079
  • NVD – CVE-2026-1731 (BeyondTrust RS/PRA), zuletzt geändert 17.02.2026: https://nvd.nist.gov/vuln/detail/CVE-2026-1731
  • BeyondTrust Advisory BT26-02, 2026: https://www.beyondtrust.com/trust-center/security-advisories/bt26-02
  • NVD – CVE-2026-2441 (Chromium), zuletzt geändert 18.02.2026: https://nvd.nist.gov/vuln/detail/CVE-2026-2441
  • Google Chrome Releases (Stable Channel Update), 13.02.2026: https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop_13.html
  • NVD – CVE-2024-43468 (Microsoft Configuration Manager), zuletzt geändert 13.02.2026: https://nvd.nist.gov/vuln/detail/CVE-2024-43468
  • MSRC – CVE-2024-43468, 2026-Updatekontext: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43468

SEO-Block

META-TITLE: Aktive Enterprise-Schwachstellen: Die wichtigsten Fälle der Woche

META-DESCRIPTION: Analyse der wichtigsten IT-Security-Entwicklungen der letzten 7 Tage: aktiv ausgenutzte Schwachstellen mit CVSS ≥ 8, Enterprise-Auswirkungen und konkrete 72h-Maßnahmen.

URL-SLUG: aktive-enterprise-schwachstellen-woche-2026-02

Keywords: IT-Security, CVE, KEV, CISA, NVD, MSRC, Schwachstellenmanagement, Patch-Management, Enterprise Security, Threat Intelligence

Dieser Eintrag wurde veröffentlicht am Allgemein. Setze ein Lesezeichen auf den permalink.

    🎉

    BLACKSOC

    MDR Security

    24/7 Managed Detection & Response

    Endpoint Security
    Sophos Intercept X Advanced
    Sophos Intercept X with XDR
    BLACKSOC Elite XDR/MDR
    Server & Firewall
    Sophos Server Protection
    Sophos XGS Firewalls
    Alle Produkte
    Schulungen
    Security Awareness
    DSGVO
    Workshops & Webinare

    Security

    Operations Center

    Ihr Partner für Cybersecurity

    Managed Services
    Managed Detection & Response
    SIEM & SOAR
    Endpoint & Network Security
    Consulting
    Security Strategy
    Compliance & Audit
    Risk Assessment
    Professional Services
    Penetration Tests
    Schulungen
    Infrastruktur
    Buchen Sie einen Termin 
    Sie haben Fragen zu Produkten oder wünschen eine Security Beratung?

    Meeting zur Cybersecurity Beratung

    Einzelheiten zum Termin werden Ihnen nach Bestätigung mitgeteilt.