← Back to Blog
Sicherheitsbriefing 4 min read 2026-04-11

Sicherheitsbriefing, 11. April 2026: CPUID-Lieferkettenangriff, exponierte Rockwell-PLCs, Payroll-Piraterie, Marimo-RCE und Gmail-E2EE auf Mobilgeräten

Das Signal heute Morgen ist hässlich und vertraut: vertrauenswürdige Tools, exponierte ICS-Systeme, gestohlene Sessions und fast sofortige Ausnutzung. Der eine Lichtblick ist, dass sicherere E-Mail auf Mobilgeräten endlich praktikabler wird.


Top line: Ein Software-Lieferkettenvorfall, eine OT-Expositionswarnung, eine Payroll-Diebstahlkampagne, eine in unter 10 Stunden ausgenutzte Entwickler-RCE und ein defensiver Fortschritt von Google.


1. Die Download-Kette von CPUID wurde vergiftet

Angreifer kompromittierten für etwa sechs Stunden eine sekundäre CPUID-API und tauschten offizielle Download-Links aus, sodass Nutzer von CPU-Z und HWMonitor auf einen trojanisierten HWiNFO-Installer umgeleitet wurden. Forschende beschrieben die Malware als mehrstufig, stark verschleiert und wahrscheinlich auf Informationsdiebstahl ausgerichtet. CPUID sagt, die signierten Original-Binärdateien seien nicht verändert worden, aber die Vertrauensgrenze ist bereits gebrochen, und genau das zählt.


2. Fast 4.000 Rockwell-PLCs in den USA sind weiterhin online exponiert

Bundesbehörden warnten, dass mit Iran verknüpfte Akteure seit März Rockwell-Automation- und Allen-Bradley-PLCs angreifen, Störungen verursachen und HMI- sowie SCADA-Anzeigen manipulieren. Censys zählte anschließend 5.219 exponierte Hosts weltweit, davon 3.891 in den USA. Das ist nicht nur eine schlechte Kennzahl. Das ist eine offene Einladung.


3. Storm-2755 stiehlt Gehälter, nicht nur Postfächer

Microsoft zufolge nutzte Storm-2755 Microsoft-365-Phishing-Seiten im Adversary-in-the-Middle-Stil, Session-Cookie-Diebstahl, versteckte Inbox-Regeln und Social Engineering rund um Direktüberweisungen, um Gehaltszahlungen kanadischer Beschäftigter umzuleiten. Die Lehre ist brutal direkt: Legacy-MFA schützt nicht, wenn Angreifer die authentifizierte Session stehlen.


4. Marimo CVE-2026-39987 wurde fast sofort ausgenutzt

Sysdig beobachtete die Ausnutzung der Pre-Auth-Marimo-RCE innerhalb von 9 Stunden und 41 Minuten nach der öffentlichen Offenlegung. Der Fehler steckte im WebSocket-Endpunkt /terminal/ws, der die Authentifizierung übersprang und Angreifern auf exponierten Instanzen eine interaktive Shell gab. Das ist die neue Normalität: Die Zeit zwischen Offenlegung und Exploit kollabiert.


5. Gmail-Ende-zu-Ende-Verschlüsselung erreicht endlich Mobilgeräte

Google sagt, dass Gmail-Ende-zu-Ende-Verschlüsselung nun auf Android und iOS für Enterprise-Nutzer verfügbar ist, sodass Teams geschützte Nachrichten mobil ohne zusätzliche Tools lesen und verfassen können. Das löst weder Identitätskompromittierung noch Endpunktdiebstahl, nimmt aber die übliche Ausrede, sichere E-Mail sei für echte Abläufe zu umständlich.


Was Sicherheitsteams heute tun sollten

  1. Vertrauenswürdige Software-Verteilpfade auditieren.
  2. Internet-exponierte OT-Assets isolieren oder entfernen.
  3. Identitätsflüsse für Payroll und HR härten.
  4. Internet-exponierte Entwickler-Tools am Tag der Offenlegung patchen.
  5. Sichere mobile Kommunikation für sensible Teams ausbauen.

Sources tracked for this briefing: Für dieses Briefing verfolgte Quellen: BleepingComputer, The Hacker News sowie Behörden- oder Herstellerberichte vom 10. bis 11. April 2026.

Verkürzen Sie das Zeitfenster, auf das Angreifer setzen

KENSAI hilft Teams, exponierte Internet-Systeme, schwache Identitätsflüsse und gefährliche Lieferkettenlücken zu finden, bevor daraus Vorfälle werden.

Kostenlosen Scan starten →

Bleiben Sie wachsam.

🗡️ KENSAI Security Team