Am 14. April 2026 veröffentlicht Microsoft seinen monatlichen Sicherheits-Update-Zyklus. Dieser Patch Tuesday verdient die direkte Aufmerksamkeit jedes Patch-Management-Teams und jedes Operations-Teams, das Windows-Infrastruktur betreibt. Der maximale Schweregrad ist kritisch. Die primäre Auswirkung ist Remote Code Execution. Die betroffene Angriffsfläche umfasst gleichzeitig die am weitesten verbreiteten Plattformen in Unternehmensumgebungen: alle aktiven Windows-11-Versionen, die gesamte noch unterstützte Windows-Server-Reihe von 2016 bis 2025, Remote Desktop Services, Microsoft Office und die .NET-Laufzeitumgebung. Dreizehn Produktfamilien werden in diesem Zyklus in drei Deployment-Prioritätsstufen adressiert.

Sieben Familien sind als Priorität eins eingestuft — sofortige Bereitstellung. Windows 11, alle aktiven Versionen — 23H2, 24H2, 25H2 und 26H1 — erhalten kritische Patches mit Remote-Code-Execution-Auswirkung. Windows Server 2025, 2022, 2019 und 2016 folgen demselben Muster: alle als kritisch eingestuft, alle mit Remote-Code-Execution-Auswirkung, alle Priorität eins. Remote Desktop Services landen ebenfalls bei kritischem Schweregrad mit Remote-Code-Execution-Auswirkung und verdienen besondere Aufmerksamkeit über das Standard-Priorität-eins-Label hinaus. Die Ausnutzungshistorie von RDS-Schwachstellen ist gut dokumentiert — BlueKeep und DejaBlue im Jahr 2019, beide wurmfähig, beide innerhalb von Wochen nach der Offenlegung aktiv ausgenutzt. Jede Einheit, die RDS über das Internet oder über VPN-Konzentratoren exponiert, sollte diese Komponente als dringlichstes Element in diesem Zyklus behandeln. Microsoft Office ist Priorität eins mit kritischem Schweregrad — der Exploit-Vektor ist konsistent Phishing, der dominante initiale Zugangsvektors in Kampagnen gegen den Finanzsektor. Der .NET- und .NET-Framework-Eintrag ist kritisch mit Denial-of-Service-Auswirkung: eine kritisch bewertete Schwachstelle in .NET kann jede Anwendung oder jeden Webdienst, der auf diesen Laufzeitumgebungen läuft, zum Absturz bringen oder unverfügbar machen — ein direktes Verfügbarkeitsrisiko, das remote ausgelöst werden kann.

Drei Familien sind Priorität zwei — Bereitstellung innerhalb von sieben Tagen: SQL Server mit wichtigem Schweregrad und Remote-Code-Execution-Auswirkung, SharePoint mit wichtigem Schweregrad und Spoofing-Auswirkung sowie Azure-Komponenten mit wichtigem Schweregrad und Elevation-of-Privilege-Auswirkung. Drei Familien sind Priorität drei — Standardzyklus: Visual Studio, Dynamics 365 und System Center, alle als wichtig eingestuft.

Darüber hinaus führt dieser April-Zyklus eine Änderung der Kernel-Treiber-Vertrauensdurchsetzung für Windows 11 24H2, 25H2, 26H1 und Windows Server 2025 ein: Systeme werden Legacy-cross-signierte Treiber nicht länger als pauschalen Vertrauenspfad behandeln. Umgebungen mit Abhängigkeiten von älteren nicht signierten Treiber-Binärdateien sollten ihr Treiber-Inventar vor der Bereitstellung überprüfen. Alle Windows-11- und Windows-Server-Updates in diesem Zyklus sind kumulativ. Die detaillierte CVE-Offenlegung und CVSS-Scores werden ab dem 14. April im Microsoft Security Response Center verfügbar sein.

Quellen

• Help Net Security – April 2026 Patch Tuesday forecast: spring cleaning of a preview : https://www.helpnetsecurity.com/2026/04/10/april-2026-patch-tuesday-forecast/
• Zecurit – Patch Tuesday April 2026: security updates and CVE analysis : https://zecurit.com/endpoint-management/patch-tuesday/
• Microsoft Security Response Center – Security Update Guide : https://msrc.microsoft.com/update-guide/

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website:https://www.radiocsirt.com/de
Wöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/

Am 7. April 2026 veröffentlichte Gen Threat Labs, die Forschungsabteilung von Gen Digital, eine detaillierte technische Analyse von Remus, einem neuen 64-Bit-Infostealer, der der Lumma-Stealer-Familie zugeschrieben wird. Aktive Kampagnen mit Remus wurden seit Februar 2026 beobachtet — unmittelbar nach einer Doxxing-Kampagne zwischen August und Oktober 2025, die die mutmaßlichen Kernmitglieder der Lumma-Organisation entblößte und deren Betrieb erheblich störte. Remus ist kein Ersatz für Lumma — beide Familien koexistieren derzeit in freier Wildbahn — sondern eine bewusste Evolution, die höchstwahrscheinlich aus einem Fork oder einer Rebranding-Operation hervorgegangen ist, die während der Phase maximalen externen Drucks auf die ursprüngliche Gruppe eingeleitet wurde.

Der von Gen Threat Labs aufgebaute Attributionsfall stützt sich auf sechs technische Indikatoren, die eine Codebasis-Kontinuität belegen. Der markanteste ist der Application-Bound-Encryption-Bypass für Chromium-Browser: Sowohl Lumma als auch Remus injizieren einen kompakten Shellcode in den Browserprozess, um den v20_master_key direkt im Speicher zu lokalisieren und CryptUnprotectMemory aus dem Prozesskontext des Browsers heraus aufzurufen. Der Unterschied zwischen beiden Implementierungen beträgt elf Bytes — 51 Bytes bei Remus gegenüber 62 bei Lumma. Dieses Niveau an Implementierungsparallelismus ist nicht zufällig. Weitere gemeinsame Indikatoren umfassen nahezu identische String-Verschleierung über Stack-Assembly und MBA-verstärkte Entschlüsselungsschleifen, direkten Syscall-Dispatch über Laufzeit-ntdll-Hash-zu-SSN-Lookup-Tabellen, identische AntiVM-CPUID-Prüfungen gegen fünf Hypervisor-Signaturen in gleicher Reihenfolge, eine gemeinsame Crypter-Präsenzprüfung über NtRaiseHardError sowie überlappende Kontrollfluss-Verschleierungsmuster. Die Attributionskette wird durch Übergangsbuild-Sets namens Tenzor verankert, kompiliert am 16. September 2025 — auf dem Höhepunkt der Störungsperiode — die sowohl einen Steam-Dead-Drop-Resolver aus bestätigten Lumma-Samples als auch Artefakte enthalten, die ausschließlich Remus zuzuordnen sind.

Die operativ bedeutsamste Evolution in Remus ist die Aufgabe von Steam- und Telegram-Dead-Drop-Resolvern zugunsten von EtherHiding. Zur Laufzeit sendet Remus eine JSON-RPC-eth_call-Anfrage an eine hartkodierte Ethereum-Smart-Contract-Adresse über einen öffentlichen RPC-Endpunkt und extrahiert die C2-URL aus der hex-kodierten Antwort. Die dezentralisierte und unveränderliche Natur der Blockchain macht diese Infrastruktur effektiv resistent gegen traditionelle Takedown-Verfahren. Remus führt zusätzlich zwei Anti-Analyse-Prüfungen vor jedem C2-Verbindungsversuch ein: Sandbox-DLL-Erkennung über CRC32-Hashing geladener Modulnamen gegen elf bekannte Sandbox-DLL-Hashes sowie Honeypot-PST-Erkennung über die Enumeration eines spezifischen Outlook-PST-Dateinamens. Schlägt eine der Prüfungen an, terminiert die Binärdatei lautlos über ExitProcess null.

Zur Erkennung: Überwachung auf JSON-RPC-eth_call-Anfragen an öffentliche Ethereum-Endpunkte, die von Workstations ausgehen — anomales Verhalten mit einer sehr geringen Falschpositivrate. Überwachung auf versteckte Desktop-Erstellung über CreateDesktopW kombiniert mit Browser-Prozessstart. Einsatz der von SOCPrime veröffentlichten Remus-spezifischen Erkennungsregeln für direkten Syscall-Einsatz, API-Hashing und Stealth-Ausführungsartefakte. Jede Organisation, die Steam- oder Telegram-Dead-Drop-Blocking als Lumma-Erkennungssignal verwendet hat, sollte diese Kontrollmaßnahme als veraltet betrachten.

Quellen

• Gen Digital – Remus: Unmasking the 64-bit variant of the infamous Lumma Stealer : https://www.gendigital.com/blog/insights/research/remus-64bit-variant-of-lumma-stealer
• GBHackers – Remus infostealer debuts with stealthy new credential-theft tactics : https://gbhackers.com/remus-infostealer-debuts/
• CyberPress – Remus infostealer emerges with credential theft and advanced evasion tricks : https://cyberpress.org/remus-infostealer-emerges-fast/

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website:https://www.radiocsirt.com/de
Wöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/