Microsofts März-Patchday brachte eine umfangreiche Sicherheitsaktualisierung: 83 Schwachstellen wurden behoben – ein deutlicher Anstieg gegenüber den 63 CVEs im Februar. Das Update umfasst die übliche Mischung aus Privilege-Escalation-Anfälligkeiten, Remote-Code-Execution-Flaws, Denial-of-Service-Problemen und Datenlecks. Doch für Sicherheitsexperten gibt es keinen Grund zur Panik.
“Ich sehe wenig Grund für Stress”, sagte Tyler Reguly, Associated Director of Security R&D bei Fortra. “Das Messaging sollte lauten: Patches nach den Testzyklen einspielen. Es gibt nichts, das Eile erfordert – das ist einfach ein ruhiger Patch Tuesday.”
Nur eine Schwachstelle erhielt von Microsoft eine Höchstbewertung: CVE-2027-21536 (CVSS 9,8), eine RCE-Lücke im Microsoft Devices Pricing Program. Interessanterweise handelt es sich um eine der ersten offiziell dokumentierten Schwachstellen, die ein KI-Agent identifiziert hat. “Das signalisiert einen Wandel hin zu KI-gestützter Erkennung komplexer Anfälligkeiten”, erklärte Ben McCarthy von Immersive.
Acht der dieser Woche gemeldeten Flaws stufte Microsoft als kritisch ein. Zwei weitere waren bereits vorher bekannt: CVE-2026-26127 (CVSS 7,5), eine .NET-DoS-Sicherheitslücke, und CVE-2026-21262 (CVSS 8,8), eine SQL-Server-Privilege-Escalation. Diese technischen Zero-Days sind allerdings harmlos, wie Satnam Narang von Tenable analysierte: “Die DoS-Lücke wird wahrscheinlich gar nicht ausgenutzt, die Privilege-Escalation-Lücke ebenfalls nicht.”
Privilege-Escalation-Schwachstellen dominierten das März-Update mit 55,4 Prozent, Remote-Code-Execution-Flaws machten 20,5 Prozent aus. Besondere Aufmerksamkeit verdienen drei Windows-Kernel-Lücken: CVE-2026-24289, CVE-2026-26132 und CVE-2026-24287 (jeweils CVSS 7,8). Microsoft bewertet die ersten beiden als wahrscheinlich Ziele von Angriffen, da sie geringe Komplexität und keine Berechtigungen erfordern.
Amol Sarwate von Cohesity empfiehlt Administratoren, auch CVE-2026-24294 (CVSS 7,8) im SMB-Server und CVE-2026-23668 (CVSS 7,0) in der Microsoft Graphics Component zu beobachten. “Privilege Escalation ist eine Hauptmethode von Angreifern zur Netzwerk-Infiltration”, betonte er.
Zwei Office-Lücken verdienen besondere Beachtung: CVE-2026-26113 und CVE-2026-26110 (jeweils CVSS 8,4). Der Vorschau-Bereich ist der Angriffsvektor – Benutzer könnten kompromittiert werden, ohne Dokumente öffnen zu müssen. Jack Bicer von Action1 empfiehlt, die Vorschau in Datei-Explorernn zu deaktivieren und E-Mail-Filterung sowie Attachment-Scanning einzusetzen.
Zwei GDI-Lücken – CVE-2026-25190 (CVSS 7,8) und CVE-2026-25181 (CVSS 7,5) – sind einzeln weniger kritisch. Kombiniert ermöglichen sie jedoch einen zweistufigen Angriff mit beliebiger Code-Ausführung. “Das erfordert Präzision auf Ebene von Nationalstaaten, doch der Ertrag passt: zuverlässige RCE auf dem Zielsystem”, analysierte Ryan Braunstein von Automox.