Die aktiv ausgenutzte Schwachstelle CVE-2026-32201 betrifft Microsoft SharePoint Server. Laut Microsofts Advisory erlaubt eine unzureichende Eingabevalidierung einem nicht autorisierten Angreifer, über das Netzwerk Spoofing-Angriffe durchzuführen. Ein erfolgreicher Angreifer könne demnach bestimmte sensible Informationen einsehen und offengelegte Informationen verändern, jedoch nicht den Zugriff auf die Ressource einschränken.

Die Lücke wurde intern entdeckt. Derzeit ist nicht bekannt, wie sie ausgenutzt wird, wer hinter den Aktivitäten steckt und in welchem Umfang sie stattfinden. Mike Walters, Präsident und Mitgründer von Action1, erklärte, Angreifer könnten dadurch vertrauenswürdige Inhalte oder Oberflächen über das Netzwerk vortäuschen und so manipulieren, wie Informationen den Nutzern präsentiert werden – mit dem Ziel, sie zum Vertrauen in schädliche Inhalte zu verleiten. Auch wenn die unmittelbare Auswirkung auf Daten begrenzt sei, mache die Möglichkeit zur Täuschung die Lücke zu einem wirkungsvollen Werkzeug für umfassendere Angriffe.

Wegen der aktiven Ausnutzung nahm die US-Cybersicherheitsbehörde CISA CVE-2026-32201 in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf. Bundesbehörden der Federal Civilian Executive Branch (FCEB) müssen die Lücke bis zum 28. April 2026 beheben.

Als öffentlich bekannt zum Zeitpunkt der Veröffentlichung gilt zudem eine Rechteausweitungslücke in Microsoft Defender (CVE-2026-33825, CVSS-Wert 7,8). Sie erlaubt einem autorisierten Angreifer, durch fehlende ausreichend granulare Zugriffskontrollen lokal seine Rechte auszuweiten. Microsoft weist darauf hin, dass für das Update keine Aktion der Nutzer erforderlich ist, da sich die Plattform standardmäßig häufig selbst aktualisiert; Systeme mit deaktiviertem Microsoft Defender sind nicht angreifbar.

Die schwerwiegendste Lücke ist eine Remotecodeausführung in den Windows Internet Key Exchange (IKE) Service Extensions. CVE-2026-33824 erreicht einen CVSS-Wert von 9,8 von 10,0. Adam Barnett, leitender Softwareentwickler bei Rapid7, erläuterte, die Ausnutzung erfordere, dass ein Angreifer speziell präparierte Pakete an einen Windows-Rechner mit aktiviertem IKE v2 sende. Unauthentifizierte RCE-Lücken gegen moderne Windows-Systeme seien vergleichsweise selten – andernfalls gäbe es mehr wurmartige, sich selbst verbreitende Schwachstellen. Da IKE jedoch sichere Tunnelaushandlung etwa für VPNs bereitstelle, sei der Dienst zwangsläufig nicht vertrauenswürdigen Netzwerken ausgesetzt und vor der Authentifizierung erreichbar.

Walters bewertete die Lücke als ernste Gefahr für Unternehmensumgebungen, die auf VPN oder IPsec für sichere Kommunikation setzen. Eine erfolgreiche Ausnutzung könne zur vollständigen Kompromittierung des Systems führen, sensible Daten gefährden, den Betrieb stören oder Bewegungen innerhalb des Netzwerks ermöglichen. Da keine Nutzerinteraktion nötig sei, sei die Lücke besonders für internetexponierte Systeme gefährlich; geringe Angriffskomplexität und die vollständige Auswirkung machten sie zu einem bevorzugten Ziel für eine rasche Bewaffnung.

Insgesamt verteilen sich die 169 Schwachstellen auf 157 als „wichtig", acht als „kritisch", drei als „mittel" und eine als „niedrig" eingestufte Lücken. Hinzu kommen 78 Schwachstellen, die Microsoft seit dem Vormonat im Chromium-basierten Edge-Browser behoben hat. Satnam Narang, Senior Staff Research Engineer bei Tenable, kommentierte, in diesem Tempo werde 2026 bestätigen, dass jährlich mehr als 1.000 Patch-Tuesday-CVEs zur Norm würden. Rechteausweitungen dominierten den Zyklus seit acht Monaten und hätten im April mit 57 Prozent einen Rekordanteil erreicht, während Remotecodeausführungen auf nur 12 Prozent gefallen seien – in diesem Monat gleichauf mit Lücken zur Offenlegung von Informationen.