MSBuild: Microsofts Entwicklertool wird zur Cyberwaffe

Forscher warnen vor zunehmendem Missbrauch des legitimen Windows-Bausteins für schwer erkennbare Angriffe auf Unternehmensnetzwerke.

Cybersicherheitsexperten schlagen Alarm: Angreifer nutzen das legitime Microsoft-Entwicklertool MSBuild immer häufiger für sogenannte fileless Attacks, die klassische Sicherheitsbarrieren umgehen. Analysen dieser Woche zeigen, dass die Bedrohungsakteure die vertrauenswürdige Windows-Komponente kapern, um Schadcode direkt im Arbeitsspeicher auszuführen – fast ohne Spuren auf dem System zu hinterlassen. Da MSBuild ein von Microsoft signiertes Standard-Tool ist, entgeht seine Aktivität oft den herkömmlichen Virenscannern. Die Häufigkeit dieser Taktiken, bei denen Angreifer bereits vorhandene Systemwerkzeuge missbrauchen, hat laut mehreren Sicherheitsfirmen deutlich zuggenommen.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen, zeigt dieser aktuelle Sicherheitsbericht. Ein kostenloses E-Book enthüllt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. Gratis-E-Book: Cyber-Bedrohungen abwenden

Wie Angreifer das Build-Tool kapern

Das Microsoft Build Engine (MSBuild) verarbeitet XML-Projektdateien, die Anweisungen zum Kompilieren von Software enthalten. Die Schwachstelle nutzt eine Funktion namens Inline Tasks, mit der Entwickler C#- oder Visual Basic-Code direkt in die XML-Datei einbetten können. Angreifer erstellen manipulierte Projektdateien mit verschleiertem Code. Wird die legitime Datei MSBuild.exe gestartet, um diese Datei zu verarbeiten, kompiliert und führt sie den bösartigen Code in einem Schritt aus.

Da dieser Vorgang komplett im Speicher des vertrauenswürdigen MSBuild-Prozesses abläuft, gilt der Angriff als fileless (dateilos). Es muss keine separate Schadsoftware auf die Festplatte geschrieben werden – der Hauptauslöser für die meisten Sicherheitsscanner entfällt. MSBuild ist zudem eine standardmäßig in Windows und dem .NET Framework enthaltene, signierte Datei und steht oft auf Positivlisten für Anwendungsrichtlinien. Diese inhärente Vertrauensstellung macht das Tool zur perfekten Tarnung für bösartige Aktivitäten.

Aktuelle Analysen zeigen zudem mehrstufige Angriffe. Ein initiales MSBuild-Skript dient dabei als schlanker Downloader: Es baut eine Verbindung zu einem ferngesteuerten Server auf, lädt eine verschlüsselte Nutzlast und injiziert sie in andere legitime Systemprozesse. Selbst wenn eine Stufe unterbrochen wird, bleibt der Gesamtangriff so schwer nachvollziehbar.

Reale Angriffskampagnen mit Phishing-E-Mails

Forscher des AhnLab Security Emergency response Center (ASEC) dokumentierten für Februar 2026 eine raffinierte Kampagne, die MSBuild zum Einschleusen der PlugX-Malware nutzte. Die Opfer erhielten Phishing-E-Mails mit angeblichen Geschäftsdokumenten. Im Anhang befanden sich ZIP-Archive mit einer umbenannten MSBuild-Datei und einer schädlichen Projektdatei.

Wurde die Datei ausgeführt, lud die Engine automatisch das Projekt und kontaktierte verschlüsselte URLs der Angreifer. Das Skript lud weitere Nutzlasten in temporäre Verzeichnisse. Zur weiteren Tarnung setzten die Angreifer auf DLL Sideloading: Dabei wird eine legitime Software manipuliert, eine schädliche Bibliothek zu laden. Die gesamte Ausführungskette sah so aus wie eine normale Windows-Operation und blieb für konventionelle Erkennungsregeln unsichtbar.

Solche Kampagnen beschränken sich nicht auf bekannte Malware. Proof-of-Concept-Exploits aus 2025 und 2026 zeigten, wie mit MSBuild auf aktuellen Windows 11-Systemen eine ferngesteuerte Shell etabliert werden konnte – selbst mit aktiviertem Echtzeutz von Windows Defender. Dies offenbart eine kritische Lücke in Sicherheitssoftware, die zu sehr auf das Erkennen bösartiger Dateien setzt statt auf das Verhalten vertrauenswürdiger Tools.

Der beschriebene Missbrauch von Systemwerkzeugen zeigt, wie raffiniert psychologische Manipulationstaktiken und technische Exploits kombiniert werden. Erfahren Sie im kostenlosen Anti-Phishing-Paket, wie Sie Ihr Unternehmen in 4 Schritten effektiv gegen Phishing-Angriffe und Cyberkriminalität schützen. Kostenloses Anti-Phishing-Paket herunterladen

Die Herausforderung: Vertrauenswürdige Binärdateien als Waffe

Der Aufstieg von MSBuild als bevorzugtes "Living Off the Land Binary" (LOLBin) markiert einen Trendwechsel. Angreifer setzen zunehmend auf bereits im System vorhandene Tools statt auf auffällige Malware. MSBuild ist besonders attraktiv, da es umfangreiche Dateiverarbeitung, Netzwerkkommunikation und Code-Ausführung unterstützt – alles, was für Angriffe nötig ist, ohne externe Tools importieren zu müssen.

Eine große Herausforderung für Verteidiger ist, dass MSBuild oft Windows Defender Application Control (WDAC) umgeht. In Entwicklungsumgebungen muss das Tool häufig zugänglich bleiben. Die Organisation steht vor einem Dilemma: Eine Blockade legt legitime Entwicklungsprozesse lahm, während unkontrollierter Zugang ein Einfallstor für Angriffe bleibt.

Analysten weisen darauf hin, dass der Missbrauch von MSBuild zur Tarnung auch bei staatlich unterstützten Angreifern zum Standardrepertoire gehört. Berichte aus Ende 2025 und Anfang 2026 verknüpfen die Technik mit Gruppen, die Cyber-Spionage betreiben. Sie nutzen das Tool, um etwa Zugangsdaten aus dem Speicher auszulesen oder Daten abzuschöpfen, während sie unter dem Radar der Security Operations Center (SOC) bleiben. In einer umtriebigen Entwicklungsumgebung können sie so monate- oder jahrelang unentdeckt im Netzwerk verbleiben.

Abwehrstrategien: Verhaltensanalyse statt Signaturerkennung

Gegen die wachsende Bedrohung durch MSBuild-Missbrauch empfehlen Cybersicherheitsbehörden einen Wechsel zu Verhaltensüberwachung und strikter Richtliniendurchsetzung. Die reine Erkennung von Dateisignaturen gilt als nicht mehr ausreichend.

Konkret sollten Sicherheitsteams alle MSBuild-Aufrufe aus atypischen Verzeichnissen wie dem temporären Ordner oder dem Downloads-Ordner protokollieren und alarmieren. Technische Leitfäden dieser Woche raten zudem, ausgehende Netzwerkverbindungen von MSBuild zu überwachen, da das Tool bei legitimen Builds kaum externe IPs kontaktieren muss. Auffällig sind auch ungewöhnliche Folgeprozesse oder Speicherinjektionen, die von MSBuild gestartet werden.

Die Implementierung von WDAC-Richtlinien, die die MSBuild-Ausführung auf autorisierte Benutzer und Systeme beschränken, wird als wichtige Gegenmaßnahme genannt. Experten erwarten, dass Angreifer, sobald die Erkennung gängiger LOLBins besser wird, auf noch obskurere Systemwerkzeuge ausweichen werden. Die fortschreitende Instrumentalisierung von Entwicklertools unterstreicht die Notwendigkeit eines Zero-Trust-Ansatzes für Systembinärdateien. Der Erfolg der Cyberabwehr wird künftig davon abhängen, zwischen legitimer Nutzung und missbräuchlicher Anwendung durch einen Angreifer unterscheiden zu können.

de | boerse | 69144388 |