Beobachtungen
Der Sicherheitsdienstleister WatchGuard warnt vor mehreren kritischen Schwachstellen in seinem WatchGuard Agent für Windows. Die gravierendsten Mängel ermöglichen es Angreifern, ihre Berechtigungen bis auf die höchste Ebene auszuweiten. Dadurch erhalten sie die vollständige Kontrolle über betroffene Endpunkte. In der Folge können die Angreifer Sicherheitsdienste deaktivieren, Zugriff auf sensible Daten erhalten oder persistente Malware installieren. Betroffen ist der WatchGuard Agent für Windows in allen Versionen bis einschließlich 1.25.02.0000.
Methoden
Die Ausnutzung der Schwachstellen erfolgt über verschiedene Wege:
- Privilege Escalation
Durch die Verkettung der Schwachstellen CVE-2026-6787 und CVE-2026-6788 können bereits authentifizierte lokale Nutzer Root-Rechte erlangen. Eine weitere Schwachstelle (CVE-2026-41288) resultiert aus einer Fehlkonfiguration im Patch-Management-Modul. - Buffer Overflows
Die Discovery-Dienste des Agents ermöglichen Buffer Overflows (CVE-2026-41286 und CVE-2026-41287). Unauthentifizierte Angreifer im selben Netzwerk können so Anfragen senden, um den Dienst zum Absturz zu bringen (Denial-of-Service). Dadurch wird die Überwachung des Endpunkts unterbrochen.
Attribution
Aktuell liegen noch keine Erkenntnisse über mögliche Angreifer vor. Allerdings wurden in der Vergangenheit vergleichbare Schwachstellen in WatchGuard-Produkten beispielsweise von der dem russischen Militärgeheimdienst GRU zugeschriebenen Gruppierung APT44 ausgenutzt. Somit ist auch in diesem Fall von einer abstrakten Gefährdungslage auszugehen.
Handlungsempfehlungen
WatchGuard hat bereits Sicherheitsupdates veröffentlicht, um die genannten Lücken zu schließen. Wir empfehlen IT-Sicherheitsverantwortlichen den sofortigen Rollout des WatchGuard Agents auf die Version 1.25.03.0000 oder höher. Zudem sollten Endpunkte auf ungewöhnliche Kontoerstellungen oder das plötzliche Stoppen von Sicherheitsdiensten, insbesondere in Umgebungen, in denen ein zeitnahes Patching nicht möglich war, überprüft werden.