Das Muster heute Morgen ist klar und unschön: Angreifer gewinnen über die vertraute Schicht um das System herum — das Firewall-Portal, den Sandbox-Wrapper, den Kollaborationsworkflow und den Login, den Nutzer wiederzuerkennen glauben.
Kurz gesagt: PAN-OS-Captive-Portal-Exposition sofort einschränken, vm2 überall sofort patchen, wo untrusted Code läuft, Teams-getriebene Fernzugriffs- und Erpressungsfälle auf Spionage-Handwerk prüfen und cloudgehostetes Compliance-Phishing als Token-Diebstahl behandeln, nicht nur als Passwortdiebstahl.
Palo Alto beschreibt CVE-2026-0300 als kritischen Buffer Overflow im User-ID Authentication Portal, der auf exponierten PA- und VM-Firewalls unauthentifizierte Codeausführung mit Root-Rechten erlaubt. Begrenzte Ausnutzung läuft bereits, und sowohl Herstellerhinweise als auch externe Berichte zeigen dieselbe Wahrheit: Ist das Captive Portal aus nicht vertrauenswürdigem IP-Raum erreichbar, ist das Risiko jetzt live.
Der vm2-Fehler CVE-2026-26956 erlaubt den Ausbruch aus der Sandbox und Codeausführung auf dem Host, ein öffentlicher Proof of Concept liegt bereits vor. Betroffen sind Node.js-25-Umgebungen mit bestimmten Laufzeitfunktionen, aber die eigentliche Lehre ist breiter: Wenn Ihr Produkt kundenseitiges JavaScript ausführt, gehört der Wrapper zur Blast Radius.
Berichte mit Rapid7-Bezug zeigen, dass die iranische Gruppe MuddyWater Microsoft-Teams-Social-Engineering, Screen Sharing, Credential Capture, AnyDesk, DWAgent und Erpressungsnachrichten nutzte, ohne jemals echte Datei-Verschlüsselung auszurollen. Chaos war das Kostüm, die Operation selbst drehte sich um Zugriff, Persistenz und Datendiebstahl.
Microsoft beobachtete mehr als 35.000 Versuche bei rund 13.000 Organisationen mit gefälschten internen Compliance-Hinweisen, PDF-Ködern, Cloudflare-CAPTCHAs und adversary-in-the-middle-Seiten, die Microsoft-Logins proxien. Das ist wichtig, weil AiTM-Phishing schwache MFA aushebelt, indem es Session-Tokens abgreift, nicht nur Passwörter.
Fazit: Das Muster heute ist eine Umkehr des Vertrauens. Internet-Portale, Sandbox-Laufzeiten, Kollaborationstools und vertraute Anmeldeseiten werden zu Angriffsflächen, sobald Teams die Hülle mit der eigentlichen Kontrolle verwechseln.
KENSAI hilft Teams, exponierte Portale, fragile Ausführungssandboxes, riskante Fernzugriffspfade und Identitätsflüsse zu finden, die unter echtem Phishing-Druck zusammenbrechen.
Kostenlosen Scan starten →Bleiben Sie scharf.
🗡️ KENSAI Security Team