← Zurück zum Blog
Sicherheitsbriefing 7 Min. Lesezeit

Erster Chrome Zero-Day 2026 + KI-Frameworks unter Beschuss

Google patcht den ersten Chrome Zero-Day 2026. KI-Agent-Frameworks wie OpenClaw werden jetzt gezielt von spezialisierten Infostealern angegriffen. Über 300 bösartige Browser-Erweiterungen mit 37 Millionen Downloads entdeckt. Gleichzeitig arbeitet CISA nur noch mit 38% Kapazität.


Kritisch: Chrome Zero-Day CVE-2026-2441

Wird aktiv ausgenutzt — Chrome sofort aktualisieren

Google hat einen Notfall-Patch für die erste Chrome-Zero-Day-Schwachstelle 2026 veröffentlicht. Die Schwachstelle zur beliebigen Codeausführung wird aktiv ausgenutzt.

DetailInformation
CVECVE-2026-2441
TypBeliebige Codeausführung
SchweregradKRITISCH
StatusWird aktiv in freier Wildbahn ausgenutzt
FixChrome 145 — Jetzt aktualisieren

Sofortmaßnahmen

  1. Chrome sofort auf Version 145 aktualisieren
  2. Automatische Updates aktivieren, falls noch nicht geschehen
  3. Temporäre Browser-Einschränkung in Betracht ziehen, bis Patching abgeschlossen ist

BeyondTrust RCE — Innerhalb von 24 Stunden ausgenutzt

CVE-2026-1731: Kritische nicht-authentifizierte Remote-Code-Ausführung in BeyondTrust Remote Support. Ausnutzung begann innerhalb von 24 Stunden nach PoC-Veröffentlichung.

CISA-Notfallanweisung

CISA hat alle Bundesbehörden angewiesen, innerhalb von 3 Tagen zu patchen. Wenn Sie BeyondTrust nutzen, hat dies höchste Priorität.


Ivanti EPMM — Einzelner Akteur dominiert Angriffe

Sicherheitsforscher haben festgestellt, dass 83% aller Ivanti EPMM-Ausnutzungsversuche von einem einzigen Bedrohungsakteur stammen. CVE-2026-1281 und CVE-2026-1340 werden weiterhin aktiv ausgenutzt.

Dieses konzentrierte Angriffsmuster deutet auf eine hochorganisierte Operation hin — dringend patchen und überwachen.


KI-Frameworks jetzt unter Beschuss

⚠️ Neue Bedrohung: Infostealer zielen auf KI-Agent-Frameworks

Sicherheitsforscher haben die erste bekannte Malware dokumentiert, die speziell auf OpenClaw und ähnliche KI-Agent-Frameworks abzielt. Die Malware stiehlt:

Dies ist eine bedeutende Entwicklung. Da agentenbasierte KI-Assistenten zum Mainstream werden, werden sie zu hochwertigen Zielen. Organisationen, die KI-Frameworks nutzen, sollten:

  1. API-Schlüssel-Speicherung und Rotationsrichtlinien prüfen
  2. Secret-Scanning in CI/CD-Pipelines implementieren
  3. Unbefugten Zugriff auf Agent-Konfigurationen überwachen
  4. Kurzlebige Token verwenden, wo möglich

ClickFix-Angriffe entwickeln sich weiter — jetzt mit DNS

Diese Woche wurden drei neue ClickFix-Varianten entdeckt, die eine schnelle Evolution zeigen:

VarianteTechnikZiel
DNS-basiert (NEU)Nutzt nslookup zum Abrufen von PowerShell-PayloadsWindows
Pastebin-KommentareBösartiges JavaScript kapert Bitcoin-TransaktionenKrypto-Nutzer
Claude LLM ArtifactsMissbraucht KI-generierte Artefakte über Google AdsmacOS

Die DNS-basierte Technik ist besonders besorgniserregend — es ist die erste bekannte Nutzung von DNS als Payload-Übertragungskanal für ClickFix-Kampagnen, die „ModeloRAT"-Malware einsetzt. Microsoft hat eine Warnung herausgegeben.


300+ bösartige Browser-Erweiterungen — 37 Mio. Downloads

Prüfen Sie Ihre Browser-Erweiterungen jetzt

Sicherheitsforscher haben über 300 bösartige Browser-Erweiterungen mit insgesamt 37 Millionen Downloads identifiziert. Diese Erweiterungen leaken Daten, stehlen persönliche Informationen und verfolgen Nutzer.

Bemerkenswertes Beispiel: Die „CL Suite"-Erweiterung zielt auf Meta Business Suite-Nutzer ab und stiehlt 2FA TOTP-Codes und Business Manager-Zugangsdaten.

Empfohlene Maßnahmen

  1. Alle installierten Browser-Erweiterungen prüfen
  2. Erweiterungen mit übermäßigen Berechtigungen entfernen
  3. Erweiterungen von verifizierten Herausgebern bevorzugen
  4. Erweiterungs-Allowlists für Unternehmensumgebungen implementieren

Große Datenlecks dieser Woche

OrganisationDatensätzeDetails
Odido (niederl. Telekom)6 MillionenNamen, Adressen, Telefonnummern
Eurail B.V.UnbekanntReisedaten werden im Dark Web verkauft
Canada Goose600.000ShinyHunters — persönliche + Zahlungsdaten
LVMH (Vuitton/Dior/Tiffany)5,5 Mio.25 Mio. $ Strafe in Südkorea

CISA arbeitet mit nur 38% Kapazität

Aufgrund des DHS-Shutdowns, der am 14. Februar begann, arbeitet CISA derzeit mit nur 888 von 2.341 Mitarbeitern. Dies reduziert die bundesweite Cybersicherheitsüberwachung zu einem kritischen Zeitpunkt erheblich.

Organisationen sollten sich nicht darauf verlassen, dass bundesweite Bedrohungsinformationen während dieser Zeit genauso zeitnah sind. Verstärken Sie die interne Überwachung und abonnieren Sie kommerzielle Threat-Feeds.


VoidLink: Neues Cloud-fokussiertes Malware-Framework

Ein neues Malware-Framework namens VoidLink wurde identifiziert, betrieben von Bedrohungsakteur UAT-9921 (aktiv seit 2019):


Heutige Zahlen

KennzahlWert
Aktive Zero-Days2 (Chrome, BeyondTrust)
Große Datenlecks4
Offengelegte Datensätze12 Mio.+
Verhängte Strafen25 Mio. $
Bösartige Erweiterungen300+
Erweiterungs-Downloads37 Mio.
CISA-Kapazität38%

Heutige Prioritäten

  1. SOFORT PATCHEN: Chrome 145 (CVE-2026-2441) + BeyondTrust + Ivanti EPMM
  2. PRÜFEN: Browser-Erweiterungen — Unbekannte entfernen
  3. ÜBERPRÜFEN: KI-Framework-Sicherheit — API-Schlüssel-Hygiene
  4. BEOBACHTEN: DNS-basierte Payload-Übertragung (ClickFix-Evolution)
  5. VERSTÄRKEN: Interne Bedrohungsüberwachung während reduzierter CISA-Kapazität

Schützen Sie Ihre Organisation mit KENSAI

KI-gestütztes Schwachstellenmanagement mit über 332.660 indizierten CVEs.

Kostenlosen Scan starten

Bleiben Sie sicher. Bleiben Sie wachsam.

🗡️ KENSAI Sicherheitsteam

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home