Es ist eine dieser Geschichten, die jeden CISO aufschrecken lassen: Microsoft veroeffentlicht im April einen Patch fuer eine ausgenutzte Zero-Day-Schwachstelle, der Hersteller markiert das Problem fuer zwei Wochen nicht als aktiv ausgenutzt, und dann stellt sich heraus: Der Patch war unvollstaendig. Die russische Spionagegruppe APT28 (Fancy Bear) hatte nur kurz pausiert, um den Angriffsweg neu zu schneiden. Genau das ist mit CVE-2026-32202 passiert. Seit Montag fuehrt CISA die Schwachstelle im Known-Exploited-Vulnerabilities-Katalog (KEV). Bundesbehoerden in den USA muessen bis zum 12. Mai 2026 patchen, also in einer Woche. Fuer den deutschen Mittelstand gilt: Wer Windows-Clients oder Fileserver mit Endnutzerzugriff betreibt, sollte heute reagieren, nicht erst am 12.

Was CVE-2026-32202 wirklich ist

Auf dem Papier liest sich CVE-2026-32202 unspektakulaer: eine Spoofing-Schwachstelle in der Windows Shell, also genau jenem Codepfad, der unter anderem den Windows Explorer und das Rendering von Verknuepfungs-Dateien (.LNK) steuert. Die offizielle Beschreibung von Microsoft spricht von einer Authentication Coercion per Netzwerk-Spoofing. Der entscheidende Punkt steckt im technischen Detail: Die Schwachstelle erlaubt es einem Angreifer, das Opfersystem dazu zu bringen, sich ohne Zutun des Nutzers an einem vom Angreifer kontrollierten Server zu authentifizieren - und zwar via SMB, mit dem vollstaendigen NTLMv2-Hash des angemeldeten Nutzers.

Die Forschungsteams von Akamai und mehreren Threat-Intelligence-Anbietern haben den Mechanismus inzwischen detailliert beschrieben. Eine boesartig praeparierte LNK-Datei traegt einen Pfadparameter, der auf eine UNC-Adresse zeigt (etwa \\attacker.example.com\share\icon.ico). Sobald der Windows Explorer den Ordner oeffnet, in dem die Datei liegt, beginnt das System mit dem Rendering der Vorschau. Dafuer muss es das Icon laden - und initiiert eine SMB-Verbindung zur Angreifer-Infrastruktur. Genau in diesem Moment laeuft das Standard-NTLM-Challenge-Response-Protokoll, der Hash wird abgefangen.

Klingt nach einem 15 Jahre alten Trick? Ist es auch. Der Witz: Microsoft hatte diesen Pfad bereits geschlossen. Der Patch zu CVE-2026-21510 (im Februar veroeffentlicht, nachdem APT28 eine Kombination aus CVE-2026-21510 und CVE-2026-21513 fuer eine Spear-Phishing-Kampagne gegen NATO-Ministerien missbraucht hatte) sollte das Problem loesen. Die Fix-Logik blockierte allerdings nur den unmittelbaren Code-Execution-Pfad und den SmartScreen-Bypass. Den dahinterliegenden Authentifizierungs-Trigger liess Microsoft offen. APT28 brauchte etwa sieben Wochen, um diese Luecke neu zu bewaffnen - und bekam dafuer eine eigene CVE-Nummer.

Zero-Click ohne Doppelklick

Der Begriff "Zero-Click" wird im Marketing inflationaer benutzt, hier passt er. Das Opfer muss die LNK-Datei nicht oeffnen, nicht doppelklicken, kein Passwort eintippen. Es genuegt, dass der Windows Explorer die Datei rendert. Das passiert in mehreren Szenarien:

  • Ein Mitarbeitender oeffnet einen Ordner, in dem ein Phishing-ZIP entpackt wurde.
  • Ein Outlook-Anhang wird im Vorschau-Pane gerendert (in bestimmten Konstellationen reicht bereits die Auswahl der Mail).
  • Eine LNK landet auf einer geteilten Netzwerkfreigabe und ein Nutzer navigiert dorthin.
  • Ein USB-Stick mit dem Koeder wird angesteckt, AutoPlay ist nicht einmal noetig.

Das Ergebnis ist immer dasselbe: Der NTLMv2-Hash des Nutzers verlaesst das Unternehmen Richtung C2-Server. Was APT28 damit macht, ist seit Jahren bekannt: Pass-the-Hash, NTLM-Relay auf Active-Directory-Dienste mit deaktiviertem Signing, oder schlicht Offline-Cracking. In Umgebungen, in denen LDAP oder SMB ohne Signing laufen (was im Mittelstand erschreckend haeufig der Fall ist), reicht der Hash fuer einen Authentifizierungsbypass auf andere Dienste.

Warum dieser Bug fuer den Mittelstand brennt

Drei Gruende machen CVE-2026-32202 zu einer Bedrohung, die sich nicht in den vom April-Patchday gewohnten Mustern abhandeln laesst.

Erstens: Die Lieferkette der Schwachstelle. Akamai dokumentiert, dass APT28 das Muster bereits in NATO-, Ukraine- und Behoerdenangriffe kopiert hat. Sobald ein staatsnaher Akteur ein Verfahren in Produktion hat, dauert es nach Erfahrung der Threat-Intel-Community zwischen sieben und 21 Tagen, bis Initial-Access-Broker die Methode in kommerziellen Phishing-Kits weiterverkaufen. Der Mittelstand ist dann das primaere Ziel.

Zweitens: Die Patch-Verzoegerung. Microsoft hat den Fix am 14. April 2026 ausgerollt, aber das Flag "exploitation detected" erst am 27. April nachgereicht. Wer seine Patch-Priorisierung an genau diesem Microsoft-Flag aufhaengt - was viele Unternehmen mit risikobasierter Patch-Strategie tun - hat zwei Wochen verloren. In dieser Zeit war die Schwachstelle aktiv ausgenutzt.

Drittens: NTLM ist nicht tot. Auch 2026 laufen in deutschen Unternehmen unzaehlige Dienste mit NTLM-Authentifizierung: Fileserver, Drucker, Legacy-Anwendungen, alte Backup-Loesungen. Microsoft hat NTLM zwar fuer Windows 11 24H2 als deprecated markiert, aber praktisch jedes mittelstaendische Active Directory haelt den Mechanismus am Leben. Genau das macht CVE-2026-32202 so gefaehrlich: Die Schwachstelle ist nicht der Hash-Diebstahl - der ist nur die Eintrittskarte. Die fehlende SMB- und LDAP-Signing-Konfiguration ist die eigentliche Killer-Bedingung.

Konkrete Handlungsempfehlungen

Wer am 5. Mai handelt, hat noch sieben Tage Vorlauf bis zur CISA-Frist und damit auch bis zu dem Zeitpunkt, an dem die Schwachstelle erfahrungsgemaess in breit gestreute Kampagnen einfliesst. Folgende Schritte sind sinnvoll und priorisiert:

Sofortmassnahmen (heute)

  1. April-2026-Patch verifizieren. Auf allen Windows-Endgeraeten und Servern den Stand pruefen: KB-Nummer 5036893 fuer Windows 11 23H2/24H2, KB 5036899 fuer Windows 10 22H2, plus die korrespondierenden Server-Updates. WSUS-Reports oder Endpoint-Management-Tools nutzen, nicht das Bauchgefuehl.
  2. Ausgehenden SMB-Verkehr ins Internet blocken. Eine simple, aber wirksame Mitigation: Auf Perimeter-Firewall und Edge-Routern TCP/445 sowie TCP/139 nach extern blockieren. Das verhindert die NTLM-Coercion auch dann, wenn der Patch noch nicht ueberall durch ist. Microsoft empfiehlt das seit Jahren, aber in vielen Mittelstands-Netzen sind die Regeln nie scharf konfiguriert worden.
  3. Outlook-Vorschau pruefen. In Umgebungen mit hohem Phishing-Risiko die automatische Anhang-Vorschau in Outlook deaktivieren oder zumindest fuer ZIP- und ISO-Anhaenge auf Sandboxing umstellen.

Massnahmen diese Woche

  1. SMB Signing erzwingen. Per Group Policy unter Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options die Werte Microsoft network client: Digitally sign communications (always) und Microsoft network server: Digitally sign communications (always) auf Enabled stellen. Pre-Tests in einer Pilotgruppe nicht vergessen, bei aelteren NAS-Geraeten kann das zu Brechen fuehren.
  2. LDAP Signing und Channel Binding aktivieren. Auf Domain-Controllern via Registry-Wert LDAPServerIntegrity = 2 setzen und LdapEnforceChannelBinding = 2 aktivieren. Damit ist NTLM-Relay auf LDAPS nicht mehr moeglich.
  3. Extended Protection for Authentication (EPA) auf Exchange-Servern, IIS und ADFS pruefen. Microsoft hat EPA bei aktuellen Exchange-CUs als Standard aktiviert, aber Inplace-Upgrades schalten es haeufig nicht scharf.
  4. Detection im SIEM. Eine sehr brauchbare Erkennungsregel: Logon-Events vom Typ 4624/4625 mit Authentication Package NTLM und einem Source Workstation Name, der nicht zur eigenen Domain gehoert. In Verbindung mit ungewoehnlichen ausgehenden SMB-Verbindungen ist das Signal sehr eindeutig.

Strukturelle Massnahmen

  1. NTLM ausphasen. Audit-Mode ueber Group Policy aktivieren (Restrict NTLM: Audit NTLM authentication in this domain), die generierten Logs ein bis zwei Wochen sammeln, dann die echten Faelle migrieren und Schritt fuer Schritt blocken. Die Microsoft-Doku zu "NTLM-Migrationsplaenen" ist hier ein guter Leitfaden.
  2. Kerberos-only-Strategie fuer interne Dienste durchsetzen, idealerweise mit FIDO2/Passkeys an der Edge.
  3. EDR-Telemetrie auf LNK-Renderverhalten aufbauen. Microsoft Defender for Endpoint und alle gaengigen Mitbewerber haben dafuer Detection-Bausteine, sie sind aber nicht ueberall aktiviert.

Ein paar Worte zur Patch-Strategie

CVE-2026-32202 ist ein Lehrstueck dafuer, warum eine Patch-Strategie nie ausschliesslich an Vendor-Flags haengen darf. Das KEV-Programm der CISA ist inzwischen die zuverlaessigste oeffentliche Quelle fuer "wird tatsaechlich ausgenutzt", aber selbst dort hinkt die Aufnahme oft Tage hinterher. Wer nur reagiert, wenn das Microsoft-Sternchen "exploitation detected" leuchtet, hat strukturell ein Problem.

Die Praxis im pleXtec-Umfeld zeigt: Die effektivsten Mittelstaendler haben drei Patch-Lanes. Eine fuer kritische Schwachstellen mit oeffentlich verfuegbaren PoCs (binnen 72 Stunden), eine fuer normale Microsoft-Patchdays (binnen sieben Tagen), eine fuer Drittanbieter-Software mit eigenen Wartungsfenstern. CVE-2026-32202 gehoerte ab dem 14. April in die erste Lane, unabhaengig vom Microsoft-Flag.

Was pleXtec empfiehlt

Wenn Sie sich nicht sicher sind, ob Ihr Patchstand sauber ist, ob Ihre SMB- und LDAP-Konfiguration den Anforderungen genuegt oder ob Ihre Detection auf NTLM-Relay-Versuche reagiert: Genau das sind die Themen, die wir taeglich in Mittelstands-Umgebungen sehen. Unsere Informationssicherheits-Beratung begleitet Patch- und Hardening-Programme von der Inventarisierung ueber die Detection bis zur strukturellen Migration weg von NTLM. Bei Fragen zu konkreten Konfigurationen oder zur Bewertung Ihrer Umgebung erreichen Sie uns ueber das Kontaktformular.

Sieben Tage sind nicht viel, aber sie reichen fuer einen ordentlichen, kontrollierten Roll-out. Was sie nicht reichen, ist ein "Wir warten mal ab". Diese Schwachstelle wartet nicht.