Der Softwareriese Microsoft hat am Dienstag ein umfassendes Sicherheits-Update mit insgesamt 84 neuen Schwachstellen veröffentlicht. Acht davon sind als “kritisch” eingestuft, die restlichen 76 als “wichtig”. Die Lücken verteilen sich auf verschiedene Fehlertypen: 46 ermöglichen Privilege-Escalation, 18 ermöglichen Remote Code Execution, 10 führen zu Informationspreisgabe, vier sind Spoofing-Flaws, vier DoS-Schwachstellen und zwei umgehen Sicherheitsfeatures.
Besonders bemerkenswert sind die beiden öffentlich bekannten Zero-Days. CVE-2026-26127 (CVSS 7,5) ist eine Denial-of-Service-Lücke in .NET, während CVE-2026-21262 (CVSS 8,8) eine kritische Privilege-Escalation in SQL Server darstellt. Die höchste Bewertung erhielt CVE-2026-21536 mit einem CVSS-Score von 9,8 — eine Remote-Code-Execution-Lücke im Microsoft Devices Pricing Program, die bereits vollständig behoben ist. Die KI-gestützte Sicherheitsplattform XBOW wird für die Entdeckung dieser Lücke gelobt.
Satnam Narang, leitender Sicherheitsingenieur bei Tenable, weist auf ein beunruhigendes Muster hin: “Mehr als die Hälfte aller diesmonatigen CVEs (55 Prozent) sind Privilege-Escalation-Bugs. Sechs davon wurden als wahrscheinlich ausnutzbar bewertet und betreffen die Windows Graphics Component, Windows Accessibility Infrastructure, Windows Kernel, Windows SMB Server und Winlogon.” Diese Lücken werden typischerweise von Angreifern nach dem initialen Eindringen in ein System genutzt, etwa nach Social-Engineering oder der Ausnutzung anderer Schwachstellen.
Die Winlogon-Lücke (CVE-2026-25187, CVSS 7,8) nutzt fehlerhafte Link-Auflösungsmechanismen aus, um SYSTEM-Rechte zu erlangen. Der Google-Project-Zero-Forscher James Forshaw wird für die Meldung der Sicherheitslücke anerkannt. Jacob Ashdown von Immersive erklärt die Gefahr: “Ein lokal authentifizierter Angreifer mit niedrigen Privilegien kann eine Link-Verfolgungsschwachstelle im Winlogon-Prozess ausnutzen und sich zu SYSTEM-Rechten hochfahren. Das erfordert keine Nutzerinteraktion und hat geringe Angriffskomplexität.”.
Weitere Aufmerksamkeit verdient CVE-2026-26118 (CVSS 8,8), eine Server-Side-Request-Forgery-Lücke im Azure Model Context Protocol (MCP) Server. Ein autorisierter Angreifer könnte diese nutzen, um Privilegien über das Netzwerk zu eskalieren. Microsoft erklärt das Angriffsszenario: Ein Angreifer könnte eine bösartig gestaltete URL als Azure-Ressourcen-ID an den MCP Server übermitteln. Der Server sendet dann eine Anfrage an diese URL und offenbart möglicherweise seinen Managed-Identity-Token. Der Angreifer kann sich damit die Berechtigungen des MCP Servers aneignen und auf alle Ressourcen zugreifen, die der Managed Identity erlaubt sind.
Eine besonders tückische Lücke ist CVE-2026-26144 (CVSS 7,5), eine Cross-Site-Scripting-Schwachstelle in Excel. Diese könnte es einem Angreifer erlauben, Daten über den Copilot Agent Mode abzugreifen — ohne dass der Nutzer etwas davon bemerkt. Alex Vovk von Action1 warnt: “Informationspreisgabe ist in Unternehmen besonders gefährlich, wo Excel-Dateien häufig finanzielle Daten, Geschäftsgeheimnisse oder operative Informationen enthalten. Mit automatisierten KI-Features steigt das Risiko, dass sensitive Daten unbemerkt außerhalb der Unternehmens-Grenzen landen.”
Parallel zu den Patch-Veröffentlichungen kündigte Microsoft an, Windows Autopatch künftig standardmäßig mit Hotpatch-Sicherheitsupdates zu aktivieren. Diese Funktion soll ab Mai 2026 für alle berechtigten Intune-Geräte verfügbar sein. Der Vorteil: Organisationen können Sicherheitsupdates ohne Neustart durchführen und dadurch 90-prozentiges Compliance-Level in halber Zeit erreichen.