剣 KENSAI
← Back to archive

🛡️ Tägliches Sicherheits-Lagebild

Mittwoch, 11. März 2026 · 04:00 MEZ · Automatisch erstellt von KENSAI
24-Stunden-Bedrohungslage
2
Zero-Days gepatcht
162+
Schwachstellen behoben (MS+Adobe+SAP)
14K
Geräte im KadNap-Botnetz
376 Mio. $
Neue Sicherheitsfinanzierung

⚡ Zusammenfassung — Was heute zählt

  • Microsoft Patch Tuesday: 79–83 Schwachstellen gepatcht, darunter 2 Zero-Days — sofort patchen
  • FortiGate-Kampagne: Bedrohungsakteure nutzen FortiGate-NGFWs aus, um AD/LDAP-Anmeldedaten aus dem Gesundheits- und Regierungssektor zu stehlen
  • KadNap-Botnetz: Über 14.000 ASUS-Router in ein Stealth-Proxy-Netzwerk mit benutzerdefiniertem Kademlia-DHT kompromittiert
  • APT28 (Fancy Bear): Neue BEARDSHELL- und COVENANT-Implantate für langfristige Überwachung des ukrainischen Militärs
  • Ivanti EPM aktiv ausgenutzt: CISA nimmt es zusammen mit SolarWinds- und Workspace-One-Schwachstellen in den KEV-Katalog auf
  • Salesforce Experience Cloud: Massenscanning-Kampagne zielt auf fehlkonfigurierte Gastbenutzer-Berechtigungen ab
  • Ericsson-Datenpanne: Tausende betroffen durch Kompromittierung eines Drittanbieters

🔴 Kritische Schwachstellen & Patch Tuesday

Microsoft · Patch Tuesday

Microsoft März 2026 Patch Tuesday — 2 Zero-Days, 79 Schwachstellen

Microsoft hat Korrekturen für 79 Schwachstellen veröffentlicht, darunter 2 öffentlich bekannte Zero-Day-Schwachstellen. Das Update behebt außerdem ein Problem, das einige Geräte am Herunterfahren hinderte. Windows 10 Extended Security Update KB5078885 und Windows 11 KB5079473/KB5078883 kumulative Updates sind jetzt verfügbar.

Zero-Day Sofort patchen Windows 10/11
Adobe

Adobe patcht 80 Schwachstellen in 8 Produkten

Adobe hat Patches für 80 Schwachstellen in Commerce, Illustrator, Acrobat Reader, Premiere Pro und 4 weiteren Produkten bereitgestellt. Mehrere kritische Sicherheitslücken für Codeausführung sind enthalten.

Hoch Acrobat Commerce
SAP

SAP patcht kritische FS-QUO- und NetWeaver-Schwachstellen

Ein Code-Injection-Fehler in FS-QUO und eine unsichere Deserialisierungslücke in NetWeaver könnten beliebige Codeausführung auf SAP-Unternehmenssystemen ermöglichen. Patch-Priorität: kritisch.

Kritisch RCE Unternehmen
HPE

HPE kritische AOS-CX-Schwachstelle — Admin-Passwort-Zurücksetzung

Hewlett Packard Enterprise hat mehrere Schwachstellen im Aruba Networking AOS-CX-Betriebssystem gepatcht, darunter Authentifizierungsumgehungen, die Admin-Passwort-Zurücksetzungen ermöglichen, sowie Codeausführungsprobleme.

Kritisch Auth-Bypass Netzwerkinfrastruktur
CISA · KEV-Update

CISA stuft Ivanti EPM, SolarWinds & Workspace One als aktiv ausgenutzt ein

Drei Schwachstellen wurden in CISAs Katalog bekannter ausgenutzter Schwachstellen aufgenommen: Ivanti Endpoint Manager Authentifizierungsumgehung mit hohem Schweregrad, SolarWinds-Schwachstelle und CVE-2021-22054 (SSRF in VMware/Omnissa Workspace One UEM, CVSS 7.5). Alle bestätigt in freier Wildbahn ausgenutzt.

Aktiv ausgenutzt KEV Ivanti
Google · Tenable Research

„LeakyLooker" — 9 mandantenübergreifende Schwachstellen in Google Looker Studio

Tenable hat 9 mandantenübergreifende Schwachstellen in Google Looker Studio offengelegt, die es Angreifern ermöglicht hätten, beliebige SQL-Abfragen auf den Datenbanken der Opfer auszuführen und sensible Daten innerhalb von Google-Cloud-Umgebungen zu exfiltrieren. Kein Nachweis einer Ausnutzung in freier Wildbahn.

Hoch Cloud Mandantenübergreifend

🟠 Aktive Bedrohungen & Kampagnen

SentinelOne

FortiGate-NGFW-Kampagne — Anmeldedatendiebstahl aus Gesundheitswesen & Regierung

Bedrohungsakteure nutzen FortiGate Next-Generation Firewalls als Einfallstor, um Netzwerke zu kompromittieren. Die Kampagne extrahiert Konfigurationsdateien mit AD/LDAP-Dienstkonten-Anmeldedaten und Netzwerktopologie. Ziele sind Gesundheitswesen, Regierung und Managed-Service-Provider. Die Ausnutzung nutzt aktuelle Schwachstellen und schwache Anmeldedaten.

Kritisch Gesundheitswesen Regierung Anmeldedatendiebstahl
APT28 / Fancy Bear · ESET

Russlands APT28 setzt BEARDSHELL + COVENANT gegen ukrainisches Militär ein

Die GRU-affiliierte APT28-Gruppe wurde bei der Nutzung neuer Implantate BEARDSHELL und COVENANT für die langfristige Überwachung ukrainischen Militärpersonals seit April 2024 beobachtet. Außerdem wird SLIMAGENT (Keylogger, Screenshot-Aufnahme, Zwischenablage-Diebstahl) eingesetzt. Die Kampagne zeigt die fortlaufende Eskalation russischer Cyberspionage-Operationen.

Nationalstaat Spionage Russland
Lumen Black Lotus Labs

KadNap-Botnetz — Über 14.000 ASUS-Router kompromittiert

Die neue Malware KadNap zielt auf ASUS-Router und Edge-Geräte ab und baut ein Botnetz mit über 14.000 Knoten zum Proxying bösartigen Datenverkehrs auf. Sie verwendet ein benutzerdefiniertes Kademlia-DHT-Protokoll zur Verschleierung der C2-Infrastruktur. Über 60 % der Opfer befinden sich in den USA, mit globaler Verbreitung in Taiwan, Hongkong, Großbritannien, Australien, Brasilien, Frankreich, Italien und Spanien. Aktiv seit August 2025.

Hoch Botnetz IoT 14K Geräte
Salesforce

Salesforce Experience Cloud Massenscanning-Kampagne

Bedrohungsakteure scannen massenhaft Salesforce Experience Cloud-Websites mit einem modifizierten AuraInspector-Tool. Übermäßig freizügige Gastkonfigurationen werden ausgenutzt, um auf sensible Daten zuzugreifen. Hunderte Kunden sollen betroffen sein.

Hoch SaaS Fehlkonfiguration
Nordkorea · UNC4899

Nordkoreanische Akteure kompromittieren Kryptofirma über trojanisierte AirDrop-Datei

UNC4899 (Jade Sleet / TraderTraitor) kompromittierte eine Kryptowährungsorganisation durch Social Engineering + trojanisierte AirDrop-Dateiübertragung. Pivot in die Cloud mittels Living-off-the-Cloud (LOTC)-Techniken, Missbrauch von DevOps-Workflows zum Abgreifen von Anmeldedaten, Ausbruch aus Containern und Manipulation von Cloud-SQL-Datenbanken für Kryptodiebstahl.

APT Krypto Lieferkette

🟡 Neue Malware & Umgehungstechniken

BleepingComputer

„BlackSanta" EDR-Killer zielt auf Personalabteilungen

Ein russischsprachiger Bedrohungsakteur zielt seit über einem Jahr auf Personalabteilungen mit Malware ab, die BlackSanta liefert, einen neuen EDR-Killer (Endpoint Detection & Response). Die Kampagne nutzt auf HR-Workflows zugeschnittenes Social Engineering.

Hoch EDR-Umgehung HR-Targeting
BleepingComputer

„BeatBanker" Android-Malware tarnt sich als Starlink-App

Die neue Android-Malware BeatBanker tarnt sich als Starlink-App auf gefälschten Google Play Store-Websites. Bei Installation ist eine vollständige Geräteübernahme möglich.

Mittel Android Banking-Trojaner
BleepingComputer

„Zombie ZIP" — Neue Technik umgeht Sicherheitsscanner

Eine neue Umgehungstechnik namens „Zombie ZIP" verbirgt bösartige Payloads in speziell präparierten komprimierten Dateien, die Antivirus- und EDR-Erkennung umgehen sollen. Nutzt Inkonsistenzen in der ZIP-Archiv-Verarbeitung von Sicherheitstools aus.

Umgehung Neue Technik
Picus Security · Red Report 2026

Geometriebasierte Sandbox-Umgehung — „Der neue Turing-Test"

Der Picus Red Report 2026 zeigt, dass sich 80 % der führenden Angreifertechniken auf Umgehung und Persistenz konzentrieren. Malware verwendet zunehmend geometriebasierte Cursorbewegungstests und CPU-Timing-Prüfungen, um Sandbox-Umgebungen zu erkennen und vor der Payload-Ausführung „Menschlichkeit" zu beweisen.

Forschung Sandbox-Umgehung
The Hacker News · JFrog

Bösartiges npm-Paket „GhostClaw" zielt auf macOS-Entwickler

Ein bösartiges npm-Paket (@openclaw-ai/openclawai) verbreitet einen RAT, der Anmeldedaten, Browserdaten, Krypto-Wallets, SSH-Schlüssel, Apple Keychain und iMessage-Verlauf stiehlt. Inklusive persistentem C2, SOCKS5-Proxy und Live-Browser-Session-Kloning. 178 Downloads seit dem 3. März.

Hoch Lieferkette npm macOS

🔵 Datenpannen

SecurityWeek

Ericsson-Datenpanne — Tausende betroffen

Der Telekommunikationsriese Ericsson bestätigte eine Datenpanne, die Tausende von Personen betrifft. Das Unternehmen machte eine Kompromittierung eines Drittanbieters verantwortlich. Der Umfang der offengelegten Daten ist noch nicht vollständig bekannt.

Telekommunikation Drittanbieter-Risiko

🟢 Sicherheitstool-Releases & Branchenfinanzierung

SecurityWeek

Kevin Mandias Armadin startet mit 190 Mio. $ Finanzierung

Der ehemalige Mandiant-CEO Kevin Mandia startet Armadin, eine KI-gestützte Red-Teaming-Plattform, die autonom Schwachstellen findet und ausnutzt. Unterstützt durch 190 Mio. $ Finanzierung. Wichtiger neuer Wettbewerber im Bereich automatisierte offensive Sicherheit.

Startup 190 Mio. $ Red Teaming
SecurityWeek

Kai — 125 Mio. $ für KI-Plattform zur Überbrückung von IT- und OT-Sicherheit

Gegründet von einem Claroty-Mitgründer, tritt Kai mit 125 Mio. $ Finanzierung von Evolution Equity Partners und N47 aus dem Stealth-Modus. Fokus: KI-gestützte Konvergenz von IT- und OT-Sicherheit (Operational Technology).

Startup 125 Mio. $ IT/OT
SecurityWeek

Jazz — 61 Mio. $ für KI-gestützten Datenverlustschutz

Jazz tritt mit 61 Mio. $ Finanzierung für KI-gestützten DLP (Data Loss Prevention) aus dem Stealth-Modus. Verspricht Transparenz über Absicht, Kontext und Risiko über traditionelle DLP-Tools hinaus.

Startup 61 Mio. $ DLP
SecurityWeek

Escape sammelt 18 Mio. $ zur Automatisierung von Pentesting

Escape sichert sich 18 Mio. $ zur Vertiefung von KI-Agenten-Fähigkeiten für automatisiertes Penetration Testing und zur Skalierung von Engineering- und Go-to-Market-Teams.

Startup 18 Mio. $ Pentesting
SecurityWeek · OpenAI

OpenAI führt Codex Security Schwachstellenscanner ein

OpenAI startet Codex Security (ehemals Aardvark), einen KI-gestützten Schwachstellenscanner, der im vergangenen Monat Hunderte kritischer Schwachstellen in getesteter Software gefunden hat.

KI-Sicherheit Schwachstellenscanner
Microsoft

Microsoft Entra Passkeys — Phishing-resistente Windows-Anmeldung

Microsoft rollt Passkey-Unterstützung für Entra unter Windows aus und ermöglicht phishing-resistente passwortlose Authentifizierung über Windows Hello. Wichtiger Schritt zur Eliminierung passwortbasierter Angriffe.

Identität Passkeys Phishing-Abwehr

📊 Aufkommende Bedrohungsmuster

Beobachtete Schlüsseltrends in diesem Zyklus

Die Analyse der letzten 24 Stunden zeigt mehrere konvergierende Muster:

1. Edge-Device-Exploitation im großen Maßstab — KadNap (14K Router), FortiGate-Kampagne und Ivanti-EPM-Ausnutzung zielen alle auf Netzwerk-Edge-Infrastruktur ab. Angreifer bevorzugen zunehmend die Kompromittierung der Geräte, die Netzwerke schützen sollen.

2. Wettrüsten bei EDR/Sandbox-Umgehung — BlackSanta EDR-Killer, Zombie-ZIP-Archivumgehung und geometriebasierte Sandbox-Erkennung zeigen massive Investitionen der Angreifer in die Umgehung von Endpunktsicherheit.

3. Fortgesetzte Supply-Chain-Vergiftung — Bösartige npm-Pakete (GhostClaw), trojanisierte AirDrop-Dateien (UNC4899) und modifizierte Open-Source-Tools (AuraInspector) demonstrieren anhaltende Supply-Chain-Angriffsvektoren.

4. Massiver Hersteller-Patch-Zyklus — Microsoft (79), Adobe (80), SAP (kritisch), HPE (kritisch) = 162+ Schwachstellen an einem einzigen Tag. Patch-Management bleibt die größte operative Belastung für Sicherheitsteams.

5. Investitionsschub bei KI-Sicherheit — 376 Mio. $ an neuer Finanzierung für 4 Startups (Armadin, Kai, Jazz, Escape) plus OpenAIs Einstieg in das Schwachstellenscanning. Der KI-Sicherheitsmarkt beschleunigt rasant.