Systemhaus Schulz – News

CVE-2026-32202: NTLMv2-Daten gefährdet

Veröffentlicht am 10.07.2026 Systemhaus Schulz

Für die Windows-Schwachstelle CVE-2026-32202 ist ein öffentlich verfügbarer Proof of Concept erschienen. Die Sicherheitslücke betrifft die Windows Shell beziehungsweise den Windows-Datei-Explorer und kann zur Offenlegung von NTLMv2-Authentifizierungsdaten führen.

Besonders relevant ist, dass die US-amerikanische Cybersecurity and Infrastructure Security Agency, kurz CISA, die Schwachstelle in ihren Katalog der aktiv ausgenutzten Sicherheitslücken aufgenommen hat.

Unternehmen sollten deshalb überprüfen, ob alle unterstützten Windows-Arbeitsplätze und Windows-Server mit den aktuellen kumulativen Sicherheitsupdates versorgt wurden.

Was ist CVE-2026-32202?

CVE-2026-32202 ist eine Spoofing-Schwachstelle innerhalb der Windows Shell. Ursache ist laut Microsoft ein Fehler in einem Schutzmechanismus des Betriebssystems.

Ein Angreifer kann eine speziell präparierte Windows-Verknüpfung, also eine Datei mit der Endung .lnk, erstellen. Diese Verknüpfung verweist im Hintergrund auf eine Netzwerkressource, die vom Angreifer kontrolliert wird.

Wird ein Ordner mit einer solchen Datei im Windows Explorer angezeigt, kann Windows versuchen, die eingebundene Netzwerkressource automatisch aufzulösen. Dabei kann das System eine NTLM-Authentifizierungsanfrage an das externe System senden.

Muss die präparierte Datei angeklickt werden?

Der bei Exploit-DB veröffentlichte Proof of Concept beschreibt, dass kein direkter Klick auf die Verknüpfung erforderlich sein muss. Bereits das Anzeigen des Ordners könne die Verarbeitung der enthaltenen Verknüpfung auslösen.

Die Bezeichnung als vollständiger „Zero-Click-Angriff“ ist dennoch missverständlich. Microsoft bewertet die Schwachstelle mit erforderlicher Benutzerinteraktion. Das Opfer muss beispielsweise einen präparierten Ordner, ein entpacktes Archiv oder einen entsprechenden Netzwerkspeicherort öffnen.

Der Benutzer muss die schädliche Verknüpfung möglicherweise nicht bewusst ausführen. Eine Interaktion mit dem präparierten Inhalt ist jedoch weiterhin erforderlich.

Was wird bei dem Angriff übertragen?

Windows kann bei dem Verbindungsversuch eine NetNTLMv2-Challenge-Response an das entfernte System übermitteln.

Dabei handelt es sich nicht unmittelbar um das Klartextkennwort des Benutzers. Die übertragenen Daten können jedoch sicherheitskritisch sein und unter bestimmten Umständen für weitere Angriffe verwendet werden.

Mögliche Angriffsszenarien sind beispielsweise:

  • Offline-Angriffe auf schwache Benutzerkennwörter
  • NTLM-Relay-Angriffe gegen andere interne Dienste
  • Übernahme zusätzlicher Benutzer- oder Computersitzungen
  • Seitwärtsbewegung innerhalb eines Unternehmensnetzwerks
  • Ausnutzung schlecht abgesicherter SMB-, LDAP- oder Webdienste

Das tatsächliche Risiko hängt stark von der vorhandenen Netzwerkarchitektur, den NTLM-Einstellungen, der Kennwortqualität und den erreichbaren internen Diensten ab.

Warum ist die Schwachstelle trotz CVSS 4.3 relevant?

Microsoft bewertet CVE-2026-32202 mit einem CVSS-v3.1-Wert von 4.3 und damit als „mittel“.

Der CVSS-Wert allein sollte jedoch nicht über die Priorität eines Sicherheitsupdates entscheiden. CISA hat die Schwachstelle am 28. April 2026 in den Known Exploited Vulnerabilities Catalog aufgenommen.

Damit liegen Hinweise auf eine tatsächliche Ausnutzung der Schwachstelle vor. Eine aktiv ausgenutzte Schwachstelle sollte in der Praxis höher priorisiert werden als eine rein theoretische Lücke mit möglicherweise höherem CVSS-Wert.

Welche Windows-Versionen sind betroffen?

Microsoft führt zahlreiche Windows-Client- und Serverversionen als betroffen. Dazu gehören verschiedene Ausgaben von:

  • Windows 10
  • Windows 11
  • Windows Server 2012 und Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server 2025

Entscheidend ist nicht nur die Hauptversion, sondern der tatsächlich installierte Betriebssystem-Build. Administratoren sollten deshalb nicht ausschließlich anhand der Produktbezeichnung entscheiden, ob ein Gerät geschützt ist.

Welche Updates beheben die Schwachstelle?

Microsoft veröffentlichte die Sicherheitskorrektur im Rahmen der Windows-Sicherheitsupdates vom 14. April 2026.

Da für unterschiedliche Windows-Versionen jeweils eigene kumulative Updates bereitgestellt werden, gibt es nicht eine einzige KB-Nummer für alle betroffenen Systeme.

Systeme, die die kumulativen Windows-Sicherheitsupdates vom April 2026 oder ein neueres kumulatives Update vollständig installiert haben, sollten die Microsoft-Korrektur enthalten.

Administratoren sollten dennoch kontrollieren, ob das Update auf den jeweiligen Geräten tatsächlich erfolgreich installiert wurde und kein ausstehender Neustart vorhanden ist.

Was Unternehmen jetzt tun sollten

  1. Windows-Updates kontrollieren: Prüfen Sie, ob alle unterstützten Clients und Server die aktuellen kumulativen Sicherheitsupdates installiert haben.
  2. Patchstatus zentral auswerten: Verlassen Sie sich nicht allein darauf, dass automatische Updates aktiviert sind. Prüfen Sie den tatsächlichen Installationsstatus über RMM, Intune, WSUS oder eine vergleichbare Lösung.
  3. Ausgehenden SMB-Verkehr blockieren: Verbindungen aus dem internen Netzwerk zu externen Systemen über TCP-Port 445 sollten an der Firewall grundsätzlich blockiert werden, sofern kein ausdrücklich dokumentierter Bedarf besteht.
  4. NTLM-Nutzung erfassen: Aktivieren Sie zunächst die NTLM-Auditing-Funktionen und prüfen Sie, welche Systeme noch auf NTLM angewiesen sind.
  5. NTLM schrittweise reduzieren: Wo technisch möglich, sollten moderne Authentifizierungsverfahren wie Kerberos verwendet werden.
  6. LNK-Dateien kontrollieren: E-Mail-Gateways und Sicherheitslösungen sollten Verknüpfungsdateien sowie Archive mit enthaltenen LNK-Dateien besonders überwachen.
  7. Netzwerksegmentierung prüfen: Clients sollten nicht uneingeschränkt auf sensible Server- und Verwaltungsdienste zugreifen können.
  8. NTLM-Relay erschweren: SMB-Signing, LDAP-Signing und Extended Protection sollten dort aktiviert werden, wo sie von den eingesetzten Systemen unterstützt werden.
  9. Protokolle überwachen: Achten Sie auf ungewöhnliche ausgehende SMB- oder Authentifizierungsverbindungen zu unbekannten Systemen.
  10. Benutzer informieren: Unerwartete ZIP-Dateien, Netzwerkfreigaben und Verknüpfungen sollten nicht ungeprüft geöffnet werden.

Warum MFA allein hier nicht ausreicht

Mehrfaktor-Authentifizierung ist ein wichtiger Bestandteil einer modernen Sicherheitsstrategie. Sie verhindert jedoch nicht automatisch, dass ein Windows-System NTLM-Authentifizierungsdaten an eine entfernte Netzwerkressource sendet.

Die Schwachstelle zeigt daher, dass MFA, Patchmanagement, Netzwerkfilterung und die Reduzierung veralteter Authentifizierungsprotokolle gemeinsam betrachtet werden müssen.

Ausgehender SMB-Verkehr als zusätzliche Schutzschicht

In vielen Unternehmensnetzwerken müssen Arbeitsplatzrechner keine SMB-Verbindungen zu Systemen im öffentlichen Internet aufbauen.

Eine zentrale Firewall-Regel, die ausgehenden Verkehr über TCP-Port 445 blockiert, kann deshalb eine wichtige zusätzliche Schutzschicht darstellen.

Diese Maßnahme ersetzt das Sicherheitsupdate nicht. Sie kann aber verhindern, dass NTLM-Authentifizierungsdaten über SMB direkt an externe Systeme übertragen werden.

Fazit

CVE-2026-32202 zeigt, wie bereits das Anzeigen eines präparierten Speicherortes sicherheitskritische Authentifizierungsprozesse auslösen kann.

Obwohl Microsoft die Schwachstelle mit einem mittleren CVSS-Wert bewertet, ist sie aufgrund der bestätigten aktiven Ausnutzung sicherheitsrelevant.

Unternehmen sollten den Patchstatus ihrer Windows-Systeme zeitnah kontrollieren, ausgehenden SMB-Verkehr beschränken und die noch vorhandene NTLM-Nutzung systematisch reduzieren.

Systemhaus Schulz unterstützt Unternehmen bei der Überprüfung des Windows-Patchstands, der Absicherung von SMB und NTLM, der Einrichtung eines zentralen Patchmanagements sowie bei der Analyse verdächtiger Authentifizierungs- und Netzwerkaktivitäten.

Quellen

Beratung oder Support benötigt?

Sie haben Fragen zu IT-Security, Infrastruktur oder benötigen Unterstützung? Systemhaus Schulz unterstützt Sie pragmatisch, professionell und zuverlässig.