← Zurück zum Sicherheitsblog
Sicherheitsbriefing 4. März 2026 8 Min. Lesezeit

VMware-Exploit aktiv ausgenutzt, OAuth-Phishing-Welle & LexisNexis gehackt

CISA stuft VMware Aria Operations RCE als aktiv ausgenutzt ein. Microsoft deckt einen ausgeklügelten OAuth-Redirect-Angriff auf, der MFA umgeht. LexisNexis bestätigt den Diebstahl von 2 GB Daten einschließlich Regierungsmitarbeiter-Datensätzen. Dazu: AkzoNobel von Anubis-Ransomware betroffen und gefälschte IT-Support-Kampagnen setzen Havoc C2 ein.


🔴 Kritisch: VMware Aria Operations wird aktiv angegriffen

CVE-2026-22719 — SOFORT PATCHEN

CISA hat eine Command-Injection-Schwachstelle in VMware Aria Operations in den KEV-Katalog aufgenommen. Die Lücke ermöglicht nicht authentifizierten Angreifern die Ausführung beliebiger Befehle bis hin zur vollständigen Remote-Code-Ausführung.

CVSS-Score: 8.1 (Hoch)  |  Frist: 24. März 2026 für US-Bundesbehörden

Die Schwachstelle befindet sich in der Migrationsservice-Komponente von VMware Aria Operations. Während der unterstützten Produktmigration kann ein nicht authentifizierter Akteur Befehle einschleusen, die über eine Sudoers-Fehlkonfiguration in vmware-casa-workflow.sh als Root ausgeführt werden.

Broadcom veröffentlichte am 24. Februar Patches zusammen mit einem temporären Workaround-Skript (aria-ops-rce-workaround.sh), das die verwundbaren Migrationskomponenten deaktiviert.

Ebenfalls gepatcht in VMSA-2026-0001:

CVETypAuswirkung
CVE-2026-22719Command InjectionNicht authentifizierte RCE
CVE-2026-22720Stored XSSSession-Hijacking
CVE-2026-22721Privilege EscalationAdmin-Zugriff

🟠 OAuth-Redirect-Missbrauch: MFA-Umgehung im großen Stil

Microsoft Defender-Forscher haben eine ausgeklügelte Kampagne aufgedeckt, bei der Bedrohungsakteure den legitimen OAuth 2.0-Redirect-Mechanismus missbrauchen, um E-Mail- und Browser-Phishing-Schutzmaßnahmen zu umgehen. Die Angriffe richten sich hauptsächlich gegen Regierungs- und öffentliche Organisationen.

So funktioniert der Angriff:

  1. Köder-Zustellung: Phishing-E-Mails, getarnt als E-Signatur-Anfragen, SSA-Benachrichtigungen oder Meeting-Einladungen, enthalten OAuth-Redirect-URLs
  2. Stille Auth-Fehler: Angreifer registrieren bösartige OAuth-Apps mit ungültigen Scopes und prompt=none, um Authentifizierungsfehler zu erzwingen
  3. Redirect-Hijacking: Der Identity-Provider leitet Opfer zur vom Angreifer kontrollierten Redirect-URI um
  4. Credential-Diebstahl: EvilProxy-Attacker-in-the-Middle-Frameworks fangen Session-Cookies ab und umgehen MFA

Kernaussage: Dieser Angriff missbraucht beabsichtigtes Verhalten im OAuth-Framework. Die Fehlerbehandlung funktioniert genau wie im Standard spezifiziert — Angreifer nutzen lediglich den Redirect-Flow als Waffe.


🔴 LexisNexis-Breach: Regierungsdaten offengelegt

Der Rechtsdaten-Gigant LexisNexis Legal & Professional hat bestätigt, dass Hacker am 24. Februar über die React2Shell-Schwachstelle in einer nicht gepatchten React-Frontend-Anwendung in die AWS-Infrastruktur eingedrungen sind.

Der Bedrohungsakteur „FulcrumSec" veröffentlichte 2 GB strukturierter Daten, darunter:


🟠 Anubis-Ransomware trifft AkzoNobel

Der niederländische Farben- und Beschichtungsriese AkzoNobel (12+ Mrd. $ Umsatz, 35.000 Mitarbeiter) hat einen Netzwerkeinbruch an einem US-Standort bestätigt. Die Anubis-Ransomware-Gruppe behauptet, 170 GB Daten gestohlen zu haben, darunter vertrauliche Kundenverträge, Passscans und interne technische Spezifikationen.


🟡 Gefälschter IT-Support setzt Havoc C2 ein

Huntress-Forscher identifizierten eine Kampagne über fünf Organisationen, bei der Angreifer sich als IT-Support ausgeben, um das Havoc C2-Framework zu verbreiten. In einem Fall wurden 9 Endpunkte in 11 Stunden kompromittiert.


📊 Weitere Schlagzeilen im Überblick

MeldungAuswirkung
Iranische Angriffe auf AWS-Rechenzentren in den VAEPhysische Infrastruktur-Verwundbarkeit aufgedeckt
Universität Hawaii Krebszentrum-Breach1,2 Mio. Betroffene; SSNs, Gesundheitsdaten gestohlen
Quanten-RSA-DurchbruchNeuer Algorithmus: RSA-Entschlüsselung früher möglich als erwartet
Android Qualcomm Zero-Day gepatchtInteger-Overflow in Grafik-Komponente führt zu Speicherkorruption
SloppyLemming zielt auf Pakistan & BangladeschDuale Malware-Ketten gegen Regierungsinfrastruktur

Empfohlene Maßnahmen

  1. Sofort: VMware Aria Operations patchen oder Workaround für CVE-2026-22719 anwenden
  2. Sofort: OAuth-App-Registrierungen in Ihrem Entra ID-Tenant überprüfen
  3. Heute: React/Node.js-Frontends auf React2Shell-Schwachstelle prüfen
  4. Diese Woche: Conditional Access-Richtlinien überprüfen und OAuth-App-Zustimmung einschränken
  5. Laufend: Mitarbeiter über gefälschte IT-Support-Social-Engineering-Taktiken schulen

Schützen Sie Ihre Organisation mit Kensai

KI-gestütztes Schwachstellenmanagement mit über 335.000 indexierten CVEs.

Kostenlos testen

Bleiben Sie sicher. Bleiben Sie wachsam.

🗡️ KENSAI Sicherheitsteam

🛡️ Schützen Sie Ihr Unternehmen

Kostenloser Sicherheitsscan Ihrer Website in 60 Sekunden

Kostenloser Sicherheitsscan →
📚 Weitere Artikel 🏠 Startseite