Fox Tempest zerschlagen: Microsoft stoppt Malware-Zertifikat-Dienst

Zeitgleich bringt Microsoft eine neue automatisierte Abwehrfunktion auf den Markt – die jedoch neue Risiken birgt.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses Cyber-Security E-Book jetzt herunterladen

Zwei Sicherheitslücken unter Beschuss

Am 27. Mai 2026 veröffentlichte Microsoft dringende Sicherheitsupdates für die Defender-Plattform. Die erste Schwachstelle (CVE-2026-41091) ermöglicht Angreifern eine Rechteausweitung und erhielt einen CVSS-Score von 7,8. Die zweite Lücke (CVE-2026-45498) ist ein Denial-of-Service-Fehler. Beide Schwachstellen wurden nachweislich vor der Veröffentlichung der Patches von Angreifern ausgenutzt.

Die Updates kommen zu einem Zeitpunkt, an dem Sicherheitsbehörden weltweit den Druck auf Unternehmen erhöhen. Indiens CERT-In erließ am selben Tag eine Richtlinie, die Organisationen verpflichtet, kritische Schwachstellen in internetfähigen Systemen innerhalb von zwölf Stunden nach Entdeckung oder bestätigter Ausnutzung zu schließen. Grund dafür ist die drastisch verkürzte Zeitspanne für Angriffe – eine direkte Folge KI-gestützter Methoden.

Automatische Isolation: Segen und Fluch

Parallel zu den Patches startete Microsoft eine Vorschauversion einer automatischen Geräteisolierung für Defender for Endpoint. Die Funktion ist Teil eines „automatic attack disruption"-Rahmenwerks. Sie trennt infizierte Geräte eigenständig vom Netzwerk, behält aber eine sichere Verbindung zur Defender-Cloud bei – für weitere Untersuchungen.

Doch das SANS-Institut warnt vor operativen Risiken. Die Forscher beschreiben ein Phänomen namens „Autonomous Defense Induced Disruption" (ADID). Angreifer könnten die Funktion manipulieren, um sämtliche Benutzerkonten in einer Umgebung lahmzulegen. Microsoft rät Administratoren, die automatische Isolierung aktiviert zu lassen, aber auf granulare Konfigurationseinstellungen zu setzen. So lassen sich unbeabsichtigte Massenstörungen vermeiden.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-Report zu aktuellen Sicherheits-Trends sichern

Schlag gegen Fox-Tempest-Dienst

Die Updates folgen auf eine konzertierte Aktion gegen kriminelle Infrastruktur. Microsoft zerschlug am 27. Mai den Malware-Signing-as-a-Service-Betrieb „Fox Tempest". Die Gruppe hatte Azure Artifact Signing missbraucht, um über 1.000 Zertifikate und hunderte Azure-Mandanten zu erstellen.

Die gefälschten Zertifikate kamen bei prominenten Erpresserbanden zum Einsatz – darunter Rhysida, Akira, INC, Qilin und BlackByte. Auch die Betreiber der Datendiebstahl-Trojaner Lumma und Vidar nutzten den Dienst. Fox Tempest verlangte zwischen 5.000 und 9.000 Dollar in Bitcoin für seine Dienste. Die Domain signspace[.]cloud wurde beschlagnahmt.

Weitere Patches mit knappen Fristen

Unternehmen müssen zeitgleich weitere Sicherheitsupdates einspielen. Die US-Behörde CISA nahm CVE-2026-48172 in ihren Katalog bekannter ausgenutzter Schwachstellen auf. Der Fehler betrifft das LiteSpeed-Benutzer-Plugin für cPanel (Versionen 2.3 bis 2.4.4) und ermöglicht Skriptausführung mit Root-Rechten. Bundesbehörden müssen den Patch in Version 2.4.5 bis zum 29. Mai 2026 installieren.

Bereits am 26. Mai aktualisierte Microsoft seine Anleitung für eine kritische Schwachstelle in SharePoint Server (CVE-2026-45659). Der Fehler mit einem CVSS-Score von 8,8 beruht auf der Deserialisierung nicht vertrauenswürdiger Daten. Ein authentifizierter Angreifer mit Site-Member-Berechtigungen kann ihn ausnutzen. Patches stehen für die Subscription Edition sowie die Versionen 2016 und 2019 bereit.

de | wissenschaft | 69430025 |