Mehrere aktuelle Schwachstellen zeigen, wie schnell sich Bedrohungsakteure an neue Angriffschancen anpassen. Besonders im Mittelpunkt stehen die kritische Remote-Code-Execution-Luecke CVE-2026-1731 in BeyondTrust-Produkten, die Erweiterung des CISA-Katalogs Known Exploited Vulnerabilities (KEV) sowie ein gezielter Supply-Chain-Angriff auf Notepad++, der auf Entwickler und Administratoren abzielte.
Kritische RCE-Schwachstelle CVE-2026-1731 in BeyondTrust im Visier von Angreifern
Die Sicherheitsluecke CVE-2026-1731 betrifft BeyondTrust Remote Support (RS) und BeyondTrust Privileged Remote Access (PRA) und wurde mit einem CVSS-Score von 9,9 als kritisch eingestuft. Nicht authentifizierte Angreifer koennen durch speziell gestaltete HTTP-Anfragen beliebigen Code auf den Systemen ausfuehren und so Befehle mit den Rechten des Webdienst-Kontos ausloesen.
Forscher berichten, dass erste Angriffe praktisch unmittelbar nach der Offenlegung beobachtet wurden. Angreifer missbrauchen dabei die Funktion get_portal_info, um den Header x-ns-company auszulesen und anschliessend einen WebSocket-Kanal fuer weitergehende Aktionen aufzubauen. Solche Kanaele eignen sich besonders fuer heimliche Datenabfluesse und die nachgelagerte Installation von Malware.
Telemetriedaten von Sicherheitsanbietern zeigen, dass nur wenige IP-Adressen einen Grossteil der Scans verursachen. Eine davon, die ueber einen kommerziellen VPN-Anbieter in Frankfurt bereitgestellt wird, ist fuer rund 86 % der beobachteten Reconnaissance-Sitzungen verantwortlich. Dies deutet auf eine etablierte Scan-Infrastruktur hin, die neue Exploits schnell in bestehende Werkzeuge integriert.
BeyondTrust hat Sicherheitsupdates bereitgestellt und weist ausdruecklich darauf hin, dass aktuelle Produktversionen nicht mehr verwundbar sind. Die US-Behörde CISA hat CVE-2026-1731 am 13. Februar 2026 in den KEV-Katalog aufgenommen und Bundesbehoerden verpflichtet, die Luecke bis zum 16. Februar zu schliessen – ein klares Signal, dass die Schwachstelle bereits breit ausgenutzt wird.
CISA-KEV: Microsoft-, SolarWinds- und Apple-Schwachstellen unter Druck
Neben BeyondTrust hat CISA weitere aktiv ausgenutzte Schwachstellen in den KEV-Katalog aufgenommen. Dazu gehoert CVE-2024-43468 in Microsoft-Produkten, die zwar im Oktober 2024 gepatcht wurde, deren konkrete Ausnutzungsszenarien oeffentlich aber noch kaum dokumentiert sind. Solche Verzoegerungen zwischen Patch und vollstaendiger Transparenz sind in komplexen Spionagekampagnen haeufig.
Besondere Aufmerksamkeit erhalten zudem Angriffe auf SolarWinds Web Help Desk (WHD). Laut Microsoft wird WHD als Internet-Einstiegspunkt genutzt, um sich anschliessend lateral zu bewegen und hoehere Wertziele in der Infrastruktur zu erreichen. Ob dabei speziell CVE-2025-40551, CVE-2025-40536 oder CVE-2025-26399 ausgenutzt wurden, bleibt unklar, da angegriffene Systeme gleich mehrere Schwachstellen aufwiesen.
Auch im Apple-Umfeld gibt es kritische Befunde: Die Schwachstelle CVE-2026-20700 in iOS wurde laut Apple in „aussergewoehnlich komplexen“ Angriffsserien gegen einen kleinen Kreis von Zielpersonen eingesetzt, vermutlich zur Verteilung kommerzieller Spionagesoftware. Sie betrifft Versionen vor iOS 26 und ist mittlerweile behoben, was den typischen Lebenszyklus von High-End-Exploits in mobilen Oekosystemen widerspiegelt.
Gezielter Supply-Chain-Angriff auf Notepad++ durch Lotus Blossom
Ein besonders heikler Fall ist die Ausnutzung von CVE-2025-15556 im Rahmen eines Supply-Chain-Angriffs auf Notepad++. Die Aktivitaeten werden dem chinesisch staatlich unterstuetzten Akteur Lotus Blossom (auch bekannt als Billbug, Thrip u.a.) zugeschrieben. Kern der Operation war ein bislang unbekannter Backdoor namens Chrysalis.
Ueber einen Zeitraum von rund fuenf Monaten – von Juni bis Oktober 2025 – war die Update-Infrastruktur von Notepad++ kompromittiert. Auffaellig ist, dass der Quellcode der Anwendung unveraendert blieb. Stattdessen wurden gezielt trojanisierte Installer ausgeliefert. Die Angreifer agierten als Adversary-in-the-Middle (AitM), indem sie den Update-Traffic abfingen und nur fuer sorgfaeltig ausgewaehlte Ziele manipulierten, vor allem fuer Entwickler und Administratoren mit hohem Informationswert.
Damit wurde der reguläre Update-Mechanismus eines vertrauenswuerdigen Tools in einen unauffaelligen Lieferkanal fuer Schadsoftware verwandelt. Die selektive Auslieferung minimierte die Auffaelligkeit im Vergleich zu breit gestreuten Supply-Chain-Angriffen, wie sie etwa im SolarWinds-Fall frueherer Jahre beobachtet wurden.
Beobachtete Angriffsmuster und empfohlene Schutzmassnahmen
Sicherheitsforscher dokumentieren bereits konkrete Angriffe, bei denen CVE-2026-1731 zur initialen Kompromittierung von BeyondTrust-RS- und PRA-Instanzen genutzt wird. In Folge installieren Angreifer Remote-Monitoring- und -Management-Werkzeuge wie SimpleHelp RMM, um sich dauerhaft in Netzen festzusetzen und weitere Systeme zu erreichen.
Fuer die Ausbreitung innerhalb kompromittierter Umgebungen kommen typische Administrations- und Hacking-Tools zum Einsatz: AdsiSearcher zur Abfrage von Active Directory, PSExec fuer die massenhafte Remote-Installation von SimpleHelp sowie Impacket SMBv2 session setup-Requests, die auf systematische SMB-basierte Erkundung und laterale Bewegungen hinweisen.
Organisationen sollten jetzt priorisiert handeln: sofortige Aktualisierung von BeyondTrust RS und PRA auf die neuesten Versionen gemäss Herstellerhinweisen, sowie ein Update von Notepad++ mindestens auf Version 8.9.1. Wo sinnvoll, sollte das automatische Aktualisierungstool WinGUp kontrolliert oder voruebergehend deaktiviert und sichergestellt werden, dass es ausschliesslich mit vertrauenswuerdigen Update-Servern kommuniziert.
Sinnvolle Detection-Massnahmen umfassen die Ueberwachung auf ungewoehnliche WebSocket-Sessions ueber BeyondTrust-Portale, das ploetzliche Auftauchen neuer RMM-Loesungen wie SimpleHelp, einen unerwarteten Anstieg von PSExec-Nutzung, auffaellige SMB-Aktivitaeten sowie ungewoehnliche Anfragen an Active Directory. Die systematische Orientierung am CISA-KEV-Katalog, konsequente Netzsegmentierung und ein strikt umgesetztes Prinzip minimaler Rechte reduzieren das Ausnutzungsfenster erheblich und erhoehen die Resilienz gegen vergleichbare Kampagnen.
