← Zurück zum Blog
Sicherheitsbriefing5 Min. Lesezeit2026-05-07

Sicherheitsbriefing, 7. Mai 2026: PAN-OS-Zero-Day, vm2-Sandbox-Escape, MuddyWater-False-Flag und Microsoft-AiTM-Phishing

Das Muster heute Morgen ist klar und unschön: Angreifer gewinnen über die vertraute Schicht um das System herum — das Firewall-Portal, den Sandbox-Wrapper, den Kollaborationsworkflow und den Login, den Nutzer wiederzuerkennen glauben.


Kurz gesagt: PAN-OS-Captive-Portal-Exposition sofort einschränken, vm2 überall sofort patchen, wo untrusted Code läuft, Teams-getriebene Fernzugriffs- und Erpressungsfälle auf Spionage-Handwerk prüfen und cloudgehostetes Compliance-Phishing als Token-Diebstahl behandeln, nicht nur als Passwortdiebstahl.


1. Das PAN-OS-Captive-Portal ist heute das wichtigste Internet-Edge-Problem

Palo Alto beschreibt CVE-2026-0300 als kritischen Buffer Overflow im User-ID Authentication Portal, der auf exponierten PA- und VM-Firewalls unauthentifizierte Codeausführung mit Root-Rechten erlaubt. Begrenzte Ausnutzung läuft bereits, und sowohl Herstellerhinweise als auch externe Berichte zeigen dieselbe Wahrheit: Ist das Captive Portal aus nicht vertrauenswürdigem IP-Raum erreichbar, ist das Risiko jetzt live.


2. vm2 zeigt erneut, dass „sandboxed“ JavaScript keine Sicherheitsgrenze allein ist

Der vm2-Fehler CVE-2026-26956 erlaubt den Ausbruch aus der Sandbox und Codeausführung auf dem Host, ein öffentlicher Proof of Concept liegt bereits vor. Betroffen sind Node.js-25-Umgebungen mit bestimmten Laufzeitfunktionen, aber die eigentliche Lehre ist breiter: Wenn Ihr Produkt kundenseitiges JavaScript ausführt, gehört der Wrapper zur Blast Radius.


3. MuddyWater nutzt Ransomware-Theater, um Spionage zu verstecken

Berichte mit Rapid7-Bezug zeigen, dass die iranische Gruppe MuddyWater Microsoft-Teams-Social-Engineering, Screen Sharing, Credential Capture, AnyDesk, DWAgent und Erpressungsnachrichten nutzte, ohne jemals echte Datei-Verschlüsselung auszurollen. Chaos war das Kostüm, die Operation selbst drehte sich um Zugriff, Persistenz und Datendiebstahl.


4. Microsofts Conduct-Review-Phishing ist auf Echtzeit-Token-Diebstahl gebaut

Microsoft beobachtete mehr als 35.000 Versuche bei rund 13.000 Organisationen mit gefälschten internen Compliance-Hinweisen, PDF-Ködern, Cloudflare-CAPTCHAs und adversary-in-the-middle-Seiten, die Microsoft-Logins proxien. Das ist wichtig, weil AiTM-Phishing schwache MFA aushebelt, indem es Session-Tokens abgreift, nicht nur Passwörter.


Was Sicherheitsteams vor Mittag tun sollten

  1. Exponierte PAN-OS-Captive-Portal-Flächen zuerst schließen oder beschränken.
  2. vm2 patchen und jeden Pfad prüfen, auf dem Kunden oder Mitarbeiter JavaScript auf Shared Hosts ausführen können.
  3. Teams-basiertes Remote-Support-Social-Engineering in dasselbe Playbook wie E-Mail-Phishing und Vishing heben.
  4. Phishing-Response auf Token-Entzug und Session-Review ausrichten, nicht nur auf Passwort-Reset.

Quellen


Fazit: Das Muster heute ist eine Umkehr des Vertrauens. Internet-Portale, Sandbox-Laufzeiten, Kollaborationstools und vertraute Anmeldeseiten werden zu Angriffsflächen, sobald Teams die Hülle mit der eigentlichen Kontrolle verwechseln.

Prüfen Sie die Vertrauensgrenzen, die Angreifer wirklich nutzen

KENSAI hilft Teams, exponierte Portale, fragile Ausführungssandboxes, riskante Fernzugriffspfade und Identitätsflüsse zu finden, die unter echtem Phishing-Druck zusammenbrechen.

Kostenlosen Scan starten →

Bleiben Sie scharf.

🗡️ KENSAI Security Team