Wochen-Dossier · 2026-W21
Joel Traber AG
12.05.2026 – 18.05.2026
Strategischer Überblick
HIGHDie KW 21 zeigt eine deutliche Eskalation in DACH-bezogenen Threat-Kampagnen: Play Ransomware erweitert das Angriffsmuster auf mittelständische Fertigungsbetriebe, und die Lazarus Group setzt gezielte Spear-Phishing-Wellen gegen HR-Postfächer fort. Mit der frisch KEV-gelisteten CLFS-Schwachstelle (CVE-2025-29824) und einem öffentlichen FortiGate-PoC entstehen zwei akute Patching-Prioritäten — beide direkt für den Joel-Traber-Stack relevant.
- Alerts
- 47
- CVEs
- 22
- KEV
- 3
- Kritisch
- 4
Top-News
- TACTICAL CISA KEVMicrosoft Windows Common Log File System Driver Privilege Escalation (CVE-2025-29824)
CISA hat CVE-2025-29824 in den KEV-Katalog aufgenommen. Play Ransomware nutzt die Lücke aktiv gegen produzierende Unternehmen in DACH.
→ Direkter Treffer für Windows-Server- und ERP-Stack.
- OPERATIONAL Fortinet PSIRTFortiGate SSL-VPN Authenticated Buffer Overflow (CVE-2025-43411)
Heap-Overflow im SSL-VPN-Portal erlaubt RCE als root. PoC kursiert im Untergrund.
→ FortiGate ist Perimeter-Firewall im Stack; SSL-VPN aktiv für Remote-Mitarbeiter.
- INFORMATIONAL Heise SecurityLazarus Group nimmt deutsche Industrie ins Visier — neue Spear-Phishing-Welle
Gezielte Kampagne der nordkoreanischen Lazarus Group gegen mittelständische Fertigungsbetriebe; Angriff via gefälschte Bewerbungs-PDFs.
→ DACH Manufacturing + HR-Workflow → höchste Passung.
Research Deep Dives
Alle ansehen →- MICROSOFT SECURITY BLOG 18.05.2026How Storm-2949 turned a compromised identity into a cloud-wide breach
Storm-2949 utilized a single compromised identity to escalate into a cloud-wide breach, demonstrating how initial access can expand rapidly without proper controls. The attackers exploited weak network restrictions and misconfigured Azure Storage to move laterally and exfiltrate data. Microsoft advises implementing hardened configurations, continuous monitoring, and strict policies to prevent such attacks.
- MANDIANT 16.05.2026Inside the Play Ransomware playbook: from initial access to double extortion in 72 hours
Mandiant analyzed six recent Play Ransomware incidents at European manufacturers and found a remarkably short attack timeline: 51 hours from initial access to exfiltration, 71 hours to encryption. The operators favor the FortiGate SSL-VPN flaw (CVE-2025-43411) as entry point, fast AD discovery via DCSync, and Rclone-based exfiltration to Mega.io. Recommended response: patch FortiGate, rotate krbtgt twice, and instrument BITS-transfer detections.
- HEISE SECURITY 15.05.2026Lazarus Group's HR phishing wave against DACH manufacturing — a tradecraft deep dive
Eine seit Anfang Mai laufende Lazarus-Kampagne nimmt gezielt HR-Abteilungen im DACH-Maschinenbau ins Visier. Die Angreifer nutzen sprachlich präzise zugeschnittene Bewerbungs-PDFs mit Discord-CDN-Loader und bleiben über mehrere Wochen passiv, bevor sie auf SAP/PLM zugreifen. Drei SIEM-taugliche Detection-Hooks und eine HR-Segmentierungsempfehlung werden im Detail beschrieben.
Top-Vendors
- Microsoft 8
- Fortinet 3
- Cisco 2
- Atlassian 2
- Apache 1
Top-CVEs
- CVE-2025-29824 Windows CLFS PE 7.8
- CVE-2025-43411 FortiGate SSL-VPN RCE 8.6
- CVE-2025-44102 Atlassian Confluence RCE 9.1