Die aktiv ausgenutzte Schwachstelle ist CVE-2026-32201 (CVSS 6.5), eine Spoofing-Lücke im Microsoft SharePoint Server, über die Angreifer vertrauliche Informationen einsehen und verändern können. Laut Mike Walters, President und Mitgründer von Action1, lassen sich darüber vertrauenswürdige Inhalte oder Oberflächen über das Netzwerk vortäuschen. Ein Angreifer könne so manipulieren, wie Informationen Nutzern präsentiert würden, und sie womöglich dazu verleiten, schädlichen Inhalten zu vertrauen. Der direkte Einfluss auf Daten sei zwar begrenzt, doch die Möglichkeit zur Täuschung mache die Lücke zu einem wirkungsvollen Werkzeug für umfassendere Angriffe.

Die zweite Zero-Day-Lücke – öffentlich offengelegt und mit verfügbarem Proof-of-Concept, aber bislang nicht ausgenutzt – ist CVE-2026-33825 (CVSS 7.8). Sie zählt zu mehr als 90 Rechteausweitungs-Fehlern dieses Monats und betrifft die Defender-Plattform. Wer sie erfolgreich ausnutzt, erlangt Systemrechte auf betroffenen Geräten. Microsoft weist darauf hin, dass Organisationen mit automatischen Defender-Updates bereits geschützt sind und lediglich den Erhalt des Updates prüfen müssen.

Jack Bicer, Director of Vulnerability Research bei Action1, geht davon aus, dass Angreifer die Lücke mit weiteren Exploits verketten, um vorhandenen Zugang auszuweiten – sie erhöhe das Risiko erheblich in Umgebungen, in denen Angreifer bereits Fuß gefasst haben. Tyler Reguly, Associate Director of Security R&D bei Fortra, zufolge handelt es sich bei CVE-2026-33825 zudem um die Schwachstelle, die im kürzlich öffentlich gemachten BlueHammer-Proof-of-Concept eine Rolle spielt; der Forscher hatte dabei seine Unzufriedenheit mit Microsofts Reaktion auf seine Meldung geäußert.

Unter den acht als kritisch eingestuften Schwachstellen sticht CVE-2026-33824 (CVSS 9.8) hervor, eine nicht authentifizierte RCE-Lücke in den Windows Internet Key Exchange (IKE) Service Extensions. Microsoft empfiehlt, den Patch sofort einzuspielen oder bei Systemen ohne IKE eingehenden Verkehr auf den UDP-Ports 500 und 4500 zu blockieren. Systeme, die IKE benötigen, sollten Firewall-Regeln so konfigurieren, dass eingehender Verkehr auf diesen Ports nur von bekannten Gegenstellen zugelassen wird.

Eine weitere nicht authentifizierte RCE-Schwachstelle ist CVE-2026-33827 (CVSS 8.1), die Windows-Komponenten für sichere Tunnelung und Authentifizierung oberhalb der TCP/IP-Schicht betrifft. Reguly bezeichnete es als selten, heute eine echte entfernte TCP/IP-Schwachstelle zu sehen; die Angriffskomplexität sei wegen einer Race Condition und „zusätzlicher Aktionen" als hoch eingestuft.

Als kritisch, aber mit geringer Ausnutzungswahrscheinlichkeit gelten zwei RCE-Lücken in Microsoft Word, CVE-2026-33114 und CVE-2026-33115 (jeweils CVSS 8.4). Zu den Schwachstellen mit höherer Ausnutzungswahrscheinlichkeit zählen die Spoofing-Lücke CVE-2026-26151 (CVSS 7.1) in Windows Desktop, die Informationspreisgabe CVE-2026-26169 (CVSS 6.1) im Windows-Kernel-Speicher sowie die Windows-Hello-Umgehung CVE-2026-27906 (CVSS 4.4).

Satnam Narang, Senior Staff Research Engineer bei Tenable, ordnete die Zahlen ein: Rechteausweitungs-Fehler dominierten den Patch-Tuesday-Zyklus seit acht Monaten und machten im April einen Rekordanteil von 57 Prozent aller behobenen CVEs aus, während RCE-Lücken auf 12 Prozent gefallen seien. Die 165 Schwachstellen blieben knapp unter den 175 vom Oktober 2025; bei diesem Tempo könne Microsoft 2026 erneut mehr als 1.000 Offenlegungen in einem Jahr erreichen.

Mat Lee, Senior Security Engineer bei Automox, hob zudem fast 80 Microsoft-Edge- und Chromium-Patches hervor, die Microsoft im Rahmen des April-Updates erneut veröffentlichte. Diese ließen sich deutlich leichter ausrollen als SQL-Server- oder SharePoint-Updates – ohne Datenbankmigrationen, Ausfallzeiten oder komplexe Abhängigkeiten – und seien daher ein lohnendes Ziel mit geringem Aufwand.