SchwachstellenCloud-SicherheitKI-Sicherheit

Microsoft Patch Tuesday Mai 2026: 137 Schwachstellen ohne aktive Zero-Day-Exploits

Von CyberDeutsch Redaktion
Microsoft Patch Tuesday Mai 2026: 137 Schwachstellen ohne aktive Zero-Day-Exploits
Zusammenfassung

Microsofts Mai-Update 2026 markiert einen Meilenstein: Zum ersten Mal in fast zwei Jahren enthält das monatliche Sicherheits-Patch-Day keine aktiv ausgebeuteten Zero-Day-Schwachstellen. Dies ist erfreulich, aber nur die halbe Geschichte. Das Update behebt 137 Sicherheitslücken, von denen Microsoft 13 als wahrscheinlich ausnutzbar einstuft und neun als kritisch bewertet. Besonders besorgniserregend sind zwei Lücken in Microsoft Word, die über die Vorschau-Funktion exploitbar sind, sowie fünf weitere mit Schweregrad-Werten von 9,8 oder 9,9 auf der zehnstufigen CVSS-Skala. Dies ist bereits der dritte Monat 2026 mit über 100 behobenen CVEs – Microsoft ist auf dem Weg, seinen Rekord von 1.245 Sicherheitslücken aus 2020 zu brechen. Der Grund liegt laut Microsoft-Führung in KI-gestützter Sicherheitsforschung, die Schwachstellen schneller entdeckt als manuelle Überprüfungen. Für deutsche Unternehmen und Behörden ist dies kritisch: Besonders die RCE-Lücken in Windows Netlogon und Microsoft Dynamics 365 gefährden Infrastrukturen, da sie keine Authentifizierung erfordern. Azure-Nutzer sind durch sieben neue CVEs in KI-Tools betroffen. Schnelle Patches sind essentiell.

Microsofts Patch Tuesday für Mai 2026 markiert eine interessante Zäsur: Während keine Zero-Day-Exploits mehr im Umlauf sind, steigt die Gesamtzahl der Schwachstellen kontinuierlich. Dies ist bereits der dritte Monat dieses Jahres, in dem Microsoft mehr als 100 CVEs in einem Update offenlegte. Mit über 500 Patches bis Mai könnte das Unternehmen das bisherige Rekordjahr 2020 mit 1.245 offengelegten Bugs übertreffen.

Verantwortlich für diesen Anstieg ist der Einsatz von KI-gestützten Analysetools. Tom Gallagher, Microsofts Vice President of Engineering, erklärte: Künstliche Intelligenz helfe Sicherheitsforschern, Code-Pfade und Konfigurationen schneller und konsistenter zu analysieren, als es manuelle Überprüfungen ermöglichen würden. “Wir erwarten, dass die Releases in den kommenden Monaten weiter größer werden.”

Besonders kritisch sind die zwei Word-Schwachstellen CVE-2026-40361 und CVE-2026-40364 (beide CVSS 8.4). Sie ermöglichen Remote Code Execution ohne Benutzerinteraktion – ein Angreifer muss lediglich ein manipuliertes Dokument versenden, um Systeme zu kompromittieren. Dies erinnert an die lange bekannte Gefahr der Outlook-Lesevorschau, die schon bei eingehenden E-Mails auslöst.

Drei Schwachstellen erreichen den Höchstwert von 9,9 auf der CVSS-Skala: CVE-2026-42898 (Remote Code Execution in Microsoft Dynamics 365), sowie zwei Azure-Vulnerabilities (CVE-2026-42823 in Azure Logic Apps und CVE-2026-33109 in Azure Managed Instance for Apache Cassandra). Besonders gefährlich ist CVE-2026-42898, da sie authentifizierten Angreifern ohne Administratorrechte ermöglicht, beliebigen Code auszuführen und auf Kundendaten, Finanzinformationen sowie integrierte Business-Systeme zuzugreifen.

Ein weiterer kritischer Fehler ist CVE-2026-41089 in Windows Netlogon – eine RCE auf Domain Controllern, die keine Authentifizierung oder Benutzerinteraktion erfordert. Sicherheitsexperten warnen: Organisations sollten auf unerklärte Neustarts und verdächtige Netlogon-Traffic-Muster achten.

Besonders alarmierend ist der wachsende AI-Sicherheitsrisiko: Sieben der CVEs betreffen Copilot und Azure AI Foundry, was 6 Prozent dieses Monats ausmacht. Experten warnen, dass viele Unternehmen nicht alle KI-Tools in ihrer Infrastruktur kennen – ein potenzielles Sicherheitsloch, das künftig wachsen wird.

Ähnliche Artikel