Kritische Sicherheitslücken in der IT-Infrastruktur auf zwei vollkommen unterschiedlichen Ebenen: Während Angreifer Administratoren über eine Zero-Day-Schwachstelle in HPE OneView ins Visier nehmen, betrifft ein weiteres Exploit gezielt Nutzer von Microsoft PowerPoint unter macOS. Die Angriffsmechanismen unterscheiden sich grundlegend – die Bedrohungslage ist dennoch gleichermaßen alarmierend.
Fernsteuerung über Netzwerkmanagement: Exploit in HPE OneView
Hewlett Packard Enterprise (HPE) hat kürzlich eine gravierende Sicherheitslücke in seinem Infrastrukturmanagement-Tool OneView bestätigt. Die Schwachstelle – katalogisiert unter CVE-2026-0123 – erlaubt es Angreifern, Code mit Administratorrechten aus der Ferne auszuführen. Laut HPE betrifft die Lücke alle OneView-Versionen bis einschließlich 8.2.1, sofern keine aktuellen Sicherheitsupdates eingespielt wurden.
OneView wird in zahlreichen Rechenzentren eingesetzt, um Server, Speicherlösungen und Netzwerke zentral zu verwalten. Ein erfolgreicher Angriff auf dieses System öffnet Hackern potenziell Tür und Tor zu kompletten IT-Infrastrukturen.
Besonders brisant: Die Lücke wird nach Angaben des Cybersecurity-Analyseunternehmens Mandiant bereits aktiv ausgenutzt – insbesondere in Sektoren wie Gesundheitswesen, Fertigung und kritische Infrastruktur. Die Angriffe erfolgen häufig über speziell präparierte HTTP-Anfragen an die OneView-API, bei denen es Hackern gelingt, Authentifizierungsroutinen zu umgehen.
Laut Mandiant wurde das Sicherheitsleck erstmals im November 2025 beobachtet. Seitdem habe man eine „deutlich ansteigende Kurve gezielter Angriffsversuche“ festgestellt. Mindestens 47 Unternehmen weltweit seien kompromittiert worden (Stand: Januar 2026), wie auch aus einem internen Bericht der US Cybersecurity and Infrastructure Security Agency (CISA) hervorgeht.
Neuartiger Office-Makro-Bug: macOS PowerPoint als Einfallstor
Parallel warnt Microsoft vor gezielten Angriffen auf PowerPoint-Nutzer unter macOS. Im Gegensatz zu Windows-Nutzern war hier bislang weniger mit Missbrauch von Makros zu rechnen. Doch eine neu entdeckte Verwundbarkeit – CVE-2026-0204 – ändert das.
Das Exploit ermöglicht es, über eingebettete PowerPoint-Makros bösartigen Code auszuführen, ohne dass eine explizite Zustimmung des Users nötig ist. Besonders perfide: Der Angriff nutzt dabei die AppleScript-Schnittstelle aus, mit der PowerPoint unter macOS interne Automatisierungen steuert.
Nach Analysen von ESET und Microsoft nutzt der Schadcode vertrauenswürdige Präsentationen („Office Trusted Locations“), um die Sicherheitsmechanismen zu umgehen. Dabei genügt es, eine manipulierte .pptx-Datei in einen bestimmten macOS-Systempfad zu verschieben oder per E-Mail herunterzuladen – ein Klick genügt zur Aktivierung.
Sektorenspezifische Angriffe: So unterschiedlich wie zielgerichtet
Beobachtungen aus dem Security-Umfeld zeigen: Während das HPE-OneView-Exploit primär auf Unternehmensinfrastrukturen in Produktions- und KRITIS-Sektoren (Kritische Infrastrukturen) abzielt, wenden die PowerPoint-Angreifer Social-Engineering-Taktiken gegen Bildungseinrichtungen, Medienhäuser und Kreativbranchen an.
Demnach unterscheiden sich nicht nur die technischen Vektoren, sondern auch die Zielgruppen. Laut Daten der Cyber Threat Alliance (CTA) stieg die Zahl sektorspezifischer Ransomware- und Makro-Attacken in der DACH-Region zwischen Q4/2024 und Q3/2025 um 39 %. Insbesondere für macOS-basiertes Engineering- und Kreativpersonal in Großagenturen ergibt sich ein erhöhtes Schadrisiko.
Ein gemeinsamer Nenner bleibt die Absicht: privilegierter Zugriff auf sensible Daten oder Initialzugang für weiterführende Angriffsketten wie Datendiebstahl, Erpressung oder Industriespionage.
Technische Analyse der Exploits
Das HPE-OneView-Exploit basiert laut GitHub-Codefragmenten und dem Advisory von Rapid7 auf einer Schwachstelle in einem internen Modul zur Benutzerberechtigungskontrolle. Durch Injection in die API-Routing-Funktion kann bösartiger Code unter dem Systembenutzer ausgeführt werden.
PowerPoint unter macOS wiederum nutzt die Sandbox-Integration von AppleScript nur unzureichend. Dadurch ist es möglich, über ein aktiviertes Makro Skripte in anderen Anwendungen (z. B. Mail oder Terminal) auszuführen – ein gefährlicher Bruch der „App Enclosure“-Logik in macOS.
Statistik: Laut einer Analyse von Malwarebytes aus dem November 2025 waren allein im Oktober 2025 mehr als 15.000 macOS-Systeme von aktiven Makro-Angriffen betroffen – ein Anstieg von 62 % gegenüber dem Vorjahreszeitraum.
Empfohlene Maßnahmen für betroffene Unternehmen
- Für HPE-OneView-Nutzer: Umgehend das Sicherheits-Update 8.2.2 installieren. Zusätzlich sollte der Zugang zur OneView-Konsole mittels VPN, IP-Whitelist und Zwei-Faktor-Authentifizierung abgesichert werden.
- Für PowerPoint-macOS-Nutzer: Makros deaktivieren, Office-Standardpfade für „Trusted Locations“ neu definieren und verdächtige .pptx-Dateien automatisch blockieren lassen.
- Für alle IT-Abteilungen: Proaktive Netzwerksegmentierung und Endpoint Detection and Response (EDR) implementieren – insbesondere für Verwaltungs- und Kreativclients.
Laut einer aktueller Studie der Bitkom aus dem Jahr 2025 erleidet jeder zweite deutsche Mittelständler jährlich mindestens einen signifikanten IT-Sicherheitsvorfall. Die durchschnittlichen Folgekosten beziffert der Verband mit 264.000 Euro pro Vorfall.
Blick in die Zukunft: Neue Angriffsmuster erfordern neue Abwehrmodelle
Die zunehmende Präzision aktueller Exploits – sei es auf High-Level-Business-Management-Plattformen wie HPE OneView oder in Standard-Office-Umgebungen wie PowerPoint auf macOS – zeigt: Klassische Perimeter-Verteidigung reicht nicht mehr aus.
Zero-Trust-Modelle mit continuously validated trust, behavioural baselines und automatisierter Threat Detection werden in Zukunft nicht nur für Enterprise-IT, sondern auch für BYOD- und Kreativumgebungen essenziell sein.
Hersteller wie Microsoft und Apple arbeiten nach eigenen Angaben bereits an zusätzlichen Schutzmechanismen für Cross-App-Skripting unter macOS. HPE hat einen Hardening Guide zur OneView-Absicherung veröffentlicht (letzte Aktualisierung: 3. Januar 2026).
Es bleibt jedoch entscheidend, dass Unternehmen nicht allein auf Hersteller-Updates vertrauen, sondern selbst aktiv Härtungskonzepte und forensische Überprüfung etablieren.
Fazit: Verantwortung beginnt mit proaktiver Sicherheitspolitik
Die aktuellen Vorfälle verdeutlichen schmerzhaft, dass selbst etablierte Softwarelösungen keine vollständige Sicherheitsgarantie bieten. Wer bei Infrastruktur und Office-Suites nur auf Komfort setzt, riskiert die ungewollte Öffnung ganzer Angriffspfade.
IT-Sicherheit ist ein dynamisches Ziel. Umso wichtiger ist es, neue Bedrohungen rechtzeitig zu erkennen, ernst zu nehmen und wechselwirksame Verteidigungsstrategien agil zu integrieren.
Welche Erfahrungen haben Sie mit Angriffen auf Plattformen wie OneView oder Office unter macOS gemacht? Diskutieren Sie mit unserer Community im Kommentarbereich oder auf LinkedIn.
