Sicherheit: Microsoft-Zertifikate laufen ab – Bootkit-Schutz fällt weg
23.06.2026 - 15:33:58 | boerse-global.de
Mehrere alte Sicherheitszertifikate von Microsoft laufen diese Woche ab – und Cyberkriminelle nutzen die Schwachstellen bereits aus.
Secure Boot: Zeitbombe für ältere Systeme tickt
Ein zentrales Problem betrifft die Secure-Boot-Infrastruktur. Das sogenannte Microsoft Key Exchange Key (KEK) Certificate Authority 2011 läuft am 24. Juni 2026 aus – also übermorgen. Geräte, die nicht rechtzeitig die 2023 ausgestellten Ersatzzertifikate installiert haben, verlieren die Fähigkeit, künftige Updates der Secure Boot Forbidden Signature Database (DBX) zu erhalten. Diese Datenbank fungiert als Sperrliste für bekannte Bootkits – Schadsoftware, die sich bereits beim Systemstart einnistet.
Festplatte kaputt oder Windows streikt? Damit Sie im Ernstfall nicht die Kontrolle ĂĽber Ihren PC verlieren, zeigt dieser kostenlose Report, wie Sie einen Windows-11-USB-Stick zur Rettung und Neuinstallation erstellen. Windows 11 Boot-Stick Anleitung jetzt kostenlos sichern
Für ältere Hardware, IoT-Geräte und abgeschottete Netzwerke könnte das fatale Folgen haben. Ohne aktualisierte Zertifikate können diese Systeme künftigen bösartigen Bootloadern nicht mehr den Vertrauensstatus entziehen. Weitere Ablaufdaten folgen: Das UEFI CA 2011 endet am 27. Juni, die Windows Production PCA 2011 am 19. Oktober. Microsoft warnt zudem für Azure Linux Trusted Launch virtuelle Maschinen: Wer die 2023-Updates nicht vor dem Widerruf installiert, riskiert, dass einige VMs nicht mehr starten.
GentleKiller: Wenn Sicherheitssoftware selbst zum Ziel wird
Parallel zu den Zertifikatsproblemen haben Sicherheitsforscher von ESET Details zu einem spezialisierten Werkzeug namens "GentleKiller" veröffentlicht. Die Ransomware-Gruppe "Gentlemen" setzt es ein, um Sicherheitssoftware auszuschalten. Die Methode: "Bring Your Own Vulnerable Driver" (BYOVD) – Angreifer bringen eigene, legitime, aber verwundbare Treiber mit, um die Systemabwehr zu umgehen.
Die Analyse zeigt: GentleKiller kann über 400 Prozesse von 48 verschiedenen Sicherheitsanbietern beenden – darunter Microsoft Defender, CrowdStrike, Sophos und sogar ESET selbst. Die Gentlemen-Gruppe, die Ende 2025 auftauchte, hat bisher vor allem Opfer in Südostasien, Südamerika und Westeuropa attackiert. Der Einstieg erfolgt meist über ungeschützte FortiGate-Konfigurationen. Der Trend ist alarmierend: Immer mehr Angreifer nutzen signierte Kernel-Treiber, um traditionelle Schutzmechanismen zu umgehen und tief ins System einzudringen.
"RoguePlanet": Neue Zero-Day-LĂĽcke in Defender
Eine weitere Baustelle: Eine neu entdeckte Zero-Day-Schwachstelle in Microsoft Defender, registriert als CVE-2026-50656 und getauft auf den Namen "RoguePlanet". Der Fehler liegt in einer Race-Condition – einem Wettlauf zwischen Systemprozessen – die es Angreifern ermöglicht, auf Windows 10 und 11 Systemzugriff auf Kernel-Ebene zu erlangen. Ein Proof-of-Concept wurde bereits veröffentlicht. Microsoft arbeitet eigenen Angaben zufolge an einem offiziellen Patch.
Entra Conditional Access: Umgehungsmöglichkeit geschlossen
Forscher von NetSPI stießen zudem auf eine Umgehungsmöglichkeit in Microsoft Entra (ehemals Azure AD). Die Schwachstelle betraf die Nested App Authentication (NAA) im Azure-Portal. Damit konnten Angreifer Microsoft Graph-Token erlangen, ohne dass die Conditional-Access-Richtlinien griffen. Voraussetzung war ein gestohlenes Refresh-Token. Microsoft hat den Fehler inzwischen behoben.
Angesichts immer komplexerer Bedrohungen durch Kernel-Lücken und manipulierbare Hardware-Anforderungen ist eine saubere System-Basis entscheidend. Dieser Gratis-Ratgeber zeigt Ihnen, wie Sie einen universellen Windows-11-Stick für alle Fälle erstellen und typische Installationsfehler vermeiden. Kostenlosen USB-Stick-Guide hier herunterladen
Dauerbrenner Malware: WhatsApp, USB-Sticks und SharePoint
Neben diesen akuten Problemen kursieren weiterhin mehrere Schadsoftware-Kampagnen:
- WhatsApp als Einfallstor: Kaspersky entdeckte eine groß angelegte Kampagne, die über WhatsApp Desktop und Web läuft. Angreifer nutzen kompromittierte Accounts, um getarnte VBScript-Dateien zu verschicken – angeblich Rechnungen oder Kontoauszüge. Die mehrstufige Infektion installiert letztlich eine Fernwartungssoftware für dauerhaften Zugriff.
- CryptoBandits.A: Seit Februar 2026 verbreitet sich dieser Wurm über USB-Sticks und kommuniziert über das Tor-Netzwerk. Sein Ziel: Kryptowährungs-Transaktionen manipulieren. Er ersetzt Wallet-Adressen in der Zwischenablage des Systems – Bitcoin, Tron und Monero sind im Visier.
- Doppelter Ärger auf SharePoint: Eine Untersuchung von Microsofts DART-Team förderte einen bemerkenswerten Fall zutage: Zwei unabhängige Angreifer operierten gleichzeitig in derselben Umgebung. Einer der Akteure, Storm-2603 genannt, hatte seit Mitte 2025 SharePoint-Server im Visier – mit Cloudflare-Tunneling und VS Code für SSH-Zugriff.
Sicherheitsexperten raten Unternehmen dringend, Firmware-Updates für den Secure-Boot-Zertifikatswechsel zu priorisieren und sicherzustellen, dass alle Windows-Systeme die aktuellsten Sicherheitsupdates erhalten. Die Angriffsfläche wächst – und die Zeit drängt.
