Microsofts monatliches Sicherheits-Update brachte im März 2026 insgesamt 77 Schwachstellen mit sich. Im Gegensatz zum Vormonat mit fünf Zero-Day-Lücken gibt es diesen Monat zwar keine noch nicht bekannten Exploits – dennoch sollten Organisationen einige Patches schnellstmöglich einspielen.
Zwei der behobenen Schwachstellen waren bereits öffentlich bekannt geworden. Die Lücke CVE-2026-21262 betrifft SQL Server ab Version 2016 und ermöglicht es Angreifern, ihre Privilegien zu erhöhen. Besonders bemerkenswert: Ein authentifizierter Angreifer kann sich im Netzwerk zu Administratorrechten hochstufen. Mit einem CVSS-Wert von 8,8 liegt diese Lücke knapp unter der kritischen Schwelle – Sicherheitsverantwortliche sollten daher nicht zögern, den Patch einzuspielen.
Die zweite öffentlich bekannte Lücke CVE-2026-26127 betrifft .NET-Anwendungen. Ihre unmittelbare Auswirkung liegt darin, einen Denial-of-Service-Angriff durch einen Crash auszulösen, wobei beim Neustart des Dienstes weitere Angriffsszenarien möglich sind.
Wie es sich für einen ordentlichen Patch Tuesday gehört, gibt es auch diesmal kritische Lücken in Microsoft Office. CVE-2026-26113 und CVE-2026-26110 sind Remote-Code-Execution-Schwachstellen, die bereits durch das bloße Ansehen einer manipulierten Nachricht in der Vorschau ausgelöst werden können.
Über die Hälfte aller CVEs dieses Monats (55 Prozent) sind Privilege-Escalation-Bugs. Sechs davon gelten als besonders ausnutzbar und verteilen sich auf mehrere Windows-Komponenten:
CVE-2026-24291 betrifft die Windows Accessibility Infrastructure und ermöglicht das Erreichen von SYSTEM-Rechten (CVSS 7,8). CVE-2026-24294 zeigt mangelhafte Authentifizierung in der SMB-Komponente (CVSS 7,8). CVE-2026-24289 ist ein kritischer Memory-Corruption- und Race-Condition-Fehler (CVSS 7,8). CVE-2026-25187, von Google Project Zero entdeckt, betrifft den Winlogon-Prozess (CVSS 7,8).
Besondere Aufmerksamkeit verdient CVE-2026-21536, eine kritische Remote-Code-Execution-Lücke in der Microsoft Devices Pricing Program-Komponente. Microsoft hat diese bereits behoben – kein Handeln notwendig. Bemerkenswert ist jedoch: Dies ist eine der ersten Schwachstellen, die von einem KI-Agenten gefunden und offiziell mit einer CVE anerkannt wurde. Der KI-Agent XBOW, ein vollständig autonomer Penetration-Tester, entdeckte die Lücke. XBOW rangiert seit einem Jahr konstant an der Spitze der HackerOne-Bug-Bounty-Bestenliste.
Dass ein KI-Agent eine kritische Lücke mit CVSS 9,8 ohne Zugriff auf den Quellcode identifizieren kann, unterstreicht einen wichtigen Trend: KI-gestützte Schwachstellenforschung wird in der Sicherheitslandschaft eine zunehmend bedeutsame Rolle spielen.
Neben dem Patch Tuesday veröffentlichte Microsoft neun weitere Browser-Sicherheitsupdates sowie ein Notfall-Update für Windows Server 2022 zur Behebung von Zertifikatsverlängerungsproblemen bei Windows Hello for Business.
Adobes März-Update schloss 80 Schwachstellen in Acrobat und Adobe Commerce, teilweise mit kritischer Einstufung. Mozilla behob mit Firefox 148.0.2 drei hochgradige Sicherheitslücken.