Die US-amerikanische Cybersicherheitsbehörde CISA (Cybersecurity and Infrastructure Security Agency) schlägt erneut Alarm: Gleich mehrere Sicherheitslücken in weit verbreiteten Software- und Hardware-Produkten werden derzeit aktiv von Angreifern ausgenutzt. Betroffen sind unter anderem das Remote-Access-Tool ConnectWise ScreenConnect, die Windows Shell, das Support-Tool SimpleHelp, das Digital-Signage-System Samsung MagicINFO sowie der WLAN-Router D-Link DIR-823X. Die Warnungen der Behörde sind dabei keine theoretischen Risikohinweise – sie basieren auf beobachteten, realen Angriffen in freier Wildbahn.
Remote-Access-Tools im Visier
ConnectWise ScreenConnect ist eine weit verbreitete Fernwartungslösung, die vor allem im IT-Support und bei Managed Service Providern (MSPs) eingesetzt wird. Genau diese Verbreitung macht das Tool zu einem attraktiven Angriffsziel: Wer Zugriff auf ScreenConnect erlangt, kann potenziell auf eine Vielzahl von Kundensystemen zugreifen. Ähnlich verhält es sich mit SimpleHelp, einem weiteren Remote-Support-Werkzeug, das in IT-Abteilungen und bei externen Dienstleistern im Einsatz ist. Angriffe auf solche Tools folgen häufig dem Muster sogenannter Supply-Chain- oder MSP-Angriffe, bei denen Kriminelle nicht das eigentliche Zielunternehmen direkt attackieren, sondern dessen Dienstleister als Einfallstor nutzen.
Windows Shell und weitere Schwachstellen
Parallel dazu warnt die CISA vor aktiv ausgenutzten Schwachstellen in der Windows Shell – also einer grundlegenden Komponente des Microsoft-Betriebssystems. Solche Lücken sind besonders kritisch, da Windows nach wie vor das dominierende Betriebssystem in Unternehmensumgebungen ist. Angriffe auf Shell-Komponenten ermöglichen es Angreifern häufig, Schadcode mit erhöhten Rechten auszuführen oder sich tiefer im System zu verankern.
Ebenfalls auf der Warnliste steht Samsung MagicINFO, eine Plattform zur Verwaltung von Digital-Signage-Displays, die in Unternehmen, Einkaufszentren und öffentlichen Einrichtungen eingesetzt wird. Solche IoT-nahen Systeme werden in der Sicherheitsbetrachtung oft vernachlässigt, obwohl sie Teil des Unternehmensnetzwerks sind und als Einstiegspunkt für weitergehende Angriffe dienen können. Der D-Link DIR-823X rundet das Bild ab: Router-Schwachstellen sind ein Dauerbrenner in CISA-Warnungen, da Heimanwender und kleine Unternehmen Firmware-Updates häufig vernachlässigen.
Einordnung und Handlungsempfehlungen
Die gehäuften Warnungen der CISA passen in ein größeres Muster: Angreifer – darunter staatlich gesponserte Gruppen ebenso wie kriminelle Ransomware-Banden – scannen das Internet systematisch nach bekannten, ungepatchten Schwachstellen. Der Zeitraum zwischen der Veröffentlichung eines Patches und dem Beginn aktiver Ausnutzung schrumpft dabei kontinuierlich, mitunter auf wenige Stunden.
- ConnectWise ScreenConnect und SimpleHelp: Sofortige Überprüfung der eingesetzten Versionen und Einspielen verfügbarer Sicherheitsupdates
- Windows Shell: Sicherstellen, dass Windows-Systeme vollständig mit den aktuellen Patches versorgt sind
- Samsung MagicINFO: Firmware auf den neuesten Stand bringen und Netzwerksegmentierung prüfen
- D-Link DIR-823X: Firmware-Update einspielen; falls kein Patch verfügbar ist, Gerät isolieren oder ersetzen
Für Unternehmen und IT-Verantwortliche gilt: Die CISA-Warnungen sollten als priorisierter Handlungsauftrag verstanden werden. Systeme, für die noch kein Patch existiert, sollten durch zusätzliche Netzwerksicherheitsmaßnahmen abgeschirmt werden. Gerade Remote-Access-Tools verdienen dabei besondere Aufmerksamkeit, da über sie im Ernstfall ganze Infrastrukturen kompromittiert werden können.
Quellen: Heise Online