Der Mai-Patchday 2026 markiert mit insgesamt 120 behobenen Schwachstellen einen der volumenreichsten Monate des laufenden Jahres. Während die Nachricht „Kein Zero-Day“ in der Community für ein kurzes Aufatmen sorgt, offenbart der Blick in die Details eine komplexe Bedrohungslage. Insbesondere die Häufung von Remote Code Execution (RCE) Lücken in Kernkomponenten erfordert schnelles Handeln.
Hier ist unsere detaillierte Analyse der wichtigsten Sicherheitsupdates für diesen Monat.
Die Statistik des Monats
Das Gesamtvolumen ist im Vergleich zum Vormonat leicht gestiegen. Die Verteilung zeigt deutlich, wo Microsoft aktuell die größten Risiken sieht:
- Elevation of Privilege (EoP): 28
- Gesamtanzahl der Fixes: 120
- Kritische Einstufung (Critical): 9
- Wichtige Einstufung (Important): 111
- Zero-Day-Lücken: 0
- Remote Code Execution (RCE): 42 (fast ein Drittel aller Fixes!)
CVE-2026-42898 – Sicherheitslücke bei Microsoft Dynamics 365 On-Premises, die die Ausführung von Remote-Code ermöglicht
„Ein Angreifer mit nur grundlegenden Zugriffsrechten kann einen Server für Unternehmensanwendungen potenziell in eine Plattform zur Remote-Codeausführung verwandeln.“
In Microsoft Dynamics 365 On-Premises besteht eine kritische Sicherheitslücke, die die Ausführung von Remote-Code ermöglicht, da die Codegenerierung nicht ordnungsgemäß kontrolliert wird. Die Schwachstelle ermöglicht es einem authentifizierten Angreifer mit geringen Berechtigungen, über das Netzwerk bösartigen Code auszuführen, indem er Prozesssitzungsdaten innerhalb von Dynamics CRM manipuliert. Da die Ausnutzung keine Benutzerinteraktion erfordert und sich auf Systeme außerhalb des ursprünglichen Sicherheitsbereichs der anfälligen Komponente auswirken kann, stellt diese Schwachstelle ein ernstes Unternehmensrisiko dar.
- CVSS-Score: 9,9
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG:
Diese Sicherheitslücke könnte es authentifizierten Angreifern ermöglichen, beliebigen Code auf betroffenen Dynamics 365-Servern aus der Ferne auszuführen. Eine erfolgreiche Ausnutzung kann zur vollständigen Kompromittierung des Servers, zum unbefugten Zugriff auf Unternehmensanwendungen, zum Diebstahl sensibler CRM-Datensätze, zur Störung des Betriebs und zur lateralen Bewegung in verbundene Unternehmenssysteme führen.
EXPLOITS:
Zum Zeitpunkt der Veröffentlichung berichtet Microsoft, dass die Schwachstelle nicht öffentlich bekannt gegeben und in der Praxis nicht ausgenutzt wurde. Der Reifegrad des Exploit-Codes wird als „Unbewiesen“ angegeben, und die Einschätzung der Ausnutzbarkeit wird als „Ausnutzung unwahrscheinlich“ bewertet.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-42898 wird durch eine unsachgemäße Steuerung der Codegenerierung verursacht und unter CWE-94 „Code Injection“ klassifiziert. Ein authentifizierter Angreifer mit geringen Berechtigungen kann den gespeicherten Zustand einer Dynamics CRM-Prozesssitzung ändern und die Anwendung dazu veranlassen, böswillig gestaltete Daten zu verarbeiten. Dies kann dazu führen, dass der Server unbeabsichtigt vom Angreifer kontrollierten Code ausführt.
Die Schwachstelle weist einen Netzwerkangriffsvektor mit geringer Angriffskomplexität auf und erfordert keine Benutzerinteraktion. Der CVSS-Umfang ist als „Geändert“ gekennzeichnet, was bedeutet, dass eine erfolgreiche Ausnutzung Auswirkungen auf Systeme oder Ressourcen außerhalb der ursprünglichen Sicherheitsgrenze haben kann, die von der anfälligen Komponente verwaltet werden. Die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit werden alle als „Hoch“ eingestuft.
AUSNUTZBARKEIT:
Das betroffene Produkt ist Microsoft Dynamics 365 (On-Premises) Version 9.1. Die Ausnutzung erfordert ein gültiges, authentifiziertes Konto mit geringen Berechtigungen. Angreifer können manipulierte Prozesssitzungsdaten missbrauchen, um die Remote-Codeausführung auf dem Server auszulösen.
AUSWIRKUNGEN AUF DAS GESCHÄFT:
Eine Kompromittierung der Dynamics 365-Infrastruktur kann Kundendaten, betriebliche Arbeitsabläufe, Finanzinformationen und integrierte Geschäftssysteme offenlegen. Da CRM-Umgebungen häufig mit Identitätsdiensten, Datenbanken und Unternehmensanwendungen verbunden sind, könnte eine erfolgreiche Ausnutzung zu einer umfassenderen Kompromittierung der Organisation und zu Betriebsstörungen führen.
WORKAROUND:
Es sind keine Abhilfemaßnahmen oder Workarounds aufgeführt. Unternehmen sollten das offizielle Microsoft-Sicherheitsupdate zu KB5078943 so schnell wie möglich installieren.
DRINGLICHKEIT:
Diese Sicherheitslücke erfordert sofortige Aufmerksamkeit, da sie eine Einstufung als „kritisch“, eine netzwerkbasierte Ausnutzung, keine Anforderungen an Benutzerinteraktion sowie erhebliche Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit vereint. Auch wenn eine Ausnutzung derzeit als unwahrscheinlich eingeschätzt wird, senkt die geringe Anforderung an Berechtigungen die Hürde für Angreifer, die bereits über gültige Anmeldedaten verfügen, erheblich.
CVE-2026-42831 – Sicherheitslücke zur Remote-Codeausführung in Microsoft Office
„Eine bösartige Office-Datei kann einen einzigen Mausklick des Benutzers in die vollständige Codeausführung auf einer Workstation verwandeln.“
In Microsoft Office besteht aufgrund eines heap-basierten Pufferüberlaufs eine kritische Sicherheitslücke zur Remote-Codeausführung. Ein unbefugter Angreifer könnte diese Schwachstelle ausnutzen, indem er eine bösartige Office-Datei versendet und einen Benutzer dazu verleitet, diese zu öffnen. Der Vorschaubereich ist kein Angriffsvektor für diese Sicherheitslücke.
- CVSS-Score: 7,8
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG:
Diese Sicherheitslücke könnte es einem Angreifer ermöglichen, lokal auf einem betroffenen System Code auszuführen. Eine erfolgreiche Ausnutzung kann zur Installation von Malware, zum Datendiebstahl, zur Kompromittierung der Workstation und möglicherweise zum Eindringen tiefer in das Unternehmen führen.
EXPLOITS:
Zum Zeitpunkt der Veröffentlichung berichtet Microsoft, dass die Sicherheitslücke nicht öffentlich bekannt gegeben und nicht ausgenutzt wurde. Der Reifegrad des Exploit-Codes wird als „unbewiesen“ angegeben, und die Wahrscheinlichkeit einer Ausnutzung wird als „unwahrscheinlich“ eingeschätzt.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-42831 wird durch einen heap-basierten Pufferüberlauf in Microsoft Office verursacht. Die Schwachstelle könnte es bösartigen Office-Inhalten ermöglichen, den Speicher zu beschädigen und vom Angreifer kontrollierten Code auf dem lokalen Rechner auszuführen. Obwohl im Titel „Remote Code Execution“ (Remote-Codeausführung) verwendet wird, ist der CVSS-Angriffsvektor „Lokal“, was bedeutet, dass für die Ausnutzung die bösartige Datei vom Benutzer lokal geöffnet werden muss. Eine Benutzerinteraktion ist erforderlich, und eine Ausnutzung über das Vorschaufenster wird nicht unterstützt.
AUSNUTZBARKEIT:
Betroffene Microsoft Office-Versionen sind in den bereitgestellten Daten nicht aufgeführt. Die Ausnutzung erfordert, dass ein Angreifer eine bösartige Office-Datei versendet und den Benutzer dazu bringt, diese zu öffnen.
AUSWIRKUNGEN AUF DAS UNTERNEHMEN:
Ein erfolgreicher Angriff könnte die Arbeitsstationen von Mitarbeitern kompromittieren, sensible Dokumente offenlegen, den Diebstahl von Anmeldedaten ermöglichen und Phishing-basierte Angriffskampagnen unterstützen. Angriffe über Office-Dateien sind besonders gefährlich, da sie sich in die normale Geschäftskommunikation einfügen.
WORKAROUND:
Es sind keine Abhilfemaßnahmen oder Workarounds aufgeführt. Wenden Sie den offiziellen Microsoft-Patch an, sobald dieser für die betroffenen Office-Produkte verfügbar ist.
DRINGLICHKEIT:
Dieser Sicherheitslücken sollte Priorität eingeräumt werden, da sie als „kritisch“ eingestuft ist und zur Codeausführung über bösartige Office-Dokumente führen kann. Auch wenn eine Ausnutzung derzeit als unwahrscheinlich eingeschätzt wird, bleiben Office-basierte Angriffe ein häufiger und effektiver Einstiegspunkt in Unternehmensumgebungen.
CVE-2026-41103 – Microsoft SSO-Plugin für Jira & Confluence: Sicherheitslücke zur Rechteausweitung
„Ein unterbrochener SSO-Vertrauenspfad kann es einem Angreifer ermöglichen, sich in Jira oder Confluence als jemand anderes auszugeben.“
Im Microsoft SSO-Plugin für Jira und Confluence besteht aufgrund einer fehlerhaften Implementierung eines Authentifizierungsalgorithmus eine kritische Sicherheitslücke zur Rechteausweitung. Ein nicht authentifizierter Angreifer könnte während der Anmeldung eine speziell gestaltete SSO-Antwort senden und das System dazu verleiten, eine gefälschte Identität zu akzeptieren, wodurch unbefugter Zugriff ohne ordnungsgemäße Microsoft Entra ID-Authentifizierung ermöglicht wird.
- CVSS-Score: 9,1
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG:
Diese Schwachstelle könnte es einem Angreifer ermöglichen, die Authentifizierung zu umgehen und als berechtigter Benutzer auf Jira oder Confluence zuzugreifen. Je nach den Berechtigungen des kompromittierten Kontos könnte der Angreifer sensible Informationen einsehen, Inhalte ändern und unbefugte Aktionen ausführen.
EXPLOITS:
Zum Zeitpunkt der Veröffentlichung berichtet Microsoft, dass die Schwachstelle nicht öffentlich bekannt war und nicht ausgenutzt wurde. Der Reifegrad des Exploit-Codes wird als „Unbewiesen“ angegeben, die Wahrscheinlichkeit einer Ausnutzung wird jedoch als „Eher wahrscheinlich“ eingeschätzt.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-41103 wird durch eine fehlerhafte Implementierung eines Authentifizierungsalgorithmus im Microsoft SSO-Plugin für Jira und Confluence verursacht. Ein Angreifer kann die Schwachstelle ausnutzen, indem er während des Anmeldevorgangs eine speziell gestaltete SSO-Antwort sendet. Diese gefälschte Antwort kann dazu führen, dass das System eine nicht autorisierte Identität akzeptiert, wodurch sich der Angreifer ohne Authentifizierung über Microsoft Entra ID anmelden kann. Die Schwachstelle ist netzwerkbasiert, von geringer Komplexität, erfordert keine Berechtigungen und keine Benutzerinteraktion.
AUSNUTZBARKEIT:
Betroffene Software ist das Microsoft SSO-Plugin für Jira und Confluence. Die Ausnutzung erfordert keine Authentifizierung oder Benutzerinteraktion. Ein erfolgreicher Angreifer kann Zugriff als gültiger Jira- oder Confluence-Benutzer erlangen, begrenzt durch die Berechtigungsstufe dieses Benutzers.
AUSWIRKUNGEN AUF DAS GESCHÄFT:
Eine Kompromittierung von Jira oder Confluence kann Projektpläne, technische Daten, interne Dokumentation, Sicherheitsverfahren, Kundeninformationen und betriebliche Arbeitsabläufe offenlegen. Angreifer können zudem Inhalte ändern, Tickets manipulieren oder vertrauenswürdige Kollaborationssysteme missbrauchen, um weitere Angriffe zu unterstützen.
WORKAROUND:
Es ist kein Workaround aufgeführt. Wenden Sie den offiziellen Microsoft-Fix für das Microsoft SSO-Plugin für Jira und Confluence an.
DRINGLICHKEIT:
Diese Schwachstelle erfordert dringende Aufmerksamkeit, da sie als „kritisch“ eingestuft ist, einen CVSS-Wert von 9,1 aufweist, keine Berechtigungen oder Benutzerinteraktion erfordert und die Ausnutzung als „eher wahrscheinlich“ eingestuft wird. Fehler bei der Authentifizierungsumgehung in Kollaborationsplattformen können schnell zu schwerwiegenden Vorfällen in Unternehmen führen.
CVE-2026-41096 – Sicherheitslücke bei der Remote-Codeausführung im Windows-DNS-Client
„Eine bösartige DNS-Antwort sollte niemals ausreichen, um die Kontrolle über ein Windows-System zu übernehmen.“
Im Windows-DNS-Client besteht aufgrund eines heap-basierten Pufferüberlaufs eine kritische Sicherheitslücke, die die Ausführung von Remote-Code ermöglicht. Ein nicht authentifizierter Angreifer könnte die Sicherheitslücke ausnutzen, indem er eine speziell gestaltete DNS-Antwort an ein anfälliges System sendet, was möglicherweise zu einer Speicherbeschädigung und der Ausführung von Remote-Code ohne Benutzereingriff führt.
- CVSS-Score: 9,8
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG:
Diese Sicherheitslücke könnte es Angreifern ermöglichen, über bösartige DNS-Antworten beliebigen Code auf betroffenen Windows-Systemen auszuführen. Eine erfolgreiche Ausnutzung kann zur vollständigen Kompromittierung des Systems, zur Verbreitung von Malware, zum Diebstahl von Anmeldedaten, zu lateraler Bewegung oder zur Störung des Unternehmensbetriebs führen.
EXPLOITS:
Zum Zeitpunkt der Veröffentlichung berichtet Microsoft, dass die Sicherheitslücke nicht öffentlich bekannt war und in der Praxis nicht ausgenutzt wurde. Der Reifegrad des Exploit-Codes wird als „unbewiesen“ angegeben, und eine Ausnutzung wird als „unwahrscheinlich“ eingeschätzt.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-41096 wird durch einen heap-basierten Pufferüberlauf im Windows-DNS-Client verursacht. Die Sicherheitslücke tritt auf, wenn der DNS-Client speziell gestaltete DNS-Antworten unsachgemäß verarbeitet, was zu Speicherbeschädigungen führt. Ein Angreifer kann die Schwachstelle aus der Ferne über das Netzwerk ohne Authentifizierung oder Benutzerinteraktion ausnutzen. Unter bestimmten Konfigurationen kann eine erfolgreiche Ausnutzung die Ausführung von durch den Angreifer kontrolliertem Code auf dem betroffenen System ermöglichen.
Die Schwachstelle beeinträchtigt Vertraulichkeit, Integrität und Verfügbarkeit in hohem Maße und weist einen Netzwerkangriffsvektor mit geringer Angriffskomplexität auf, was sie für Unternehmensumgebungen besonders gefährlich macht.
AUSNUTZBARKEIT:
Betroffene Software ist der Microsoft Windows DNS-Client. Zur Ausnutzung muss ein Angreifer eine speziell gestaltete DNS-Antwort an ein anfälliges Windows-System senden. Es ist keine Authentifizierung oder Benutzerinteraktion erforderlich.
AUSWIRKUNGEN AUF DAS GESCHÄFT:
Da DNS ein zentraler Netzwerkdienst ist, der in Unternehmensumgebungen weit verbreitet ist, könnte eine Ausnutzung schnell eine große Anzahl von Systemen betreffen. Erfolgreiche Angriffe können zu einer weitreichenden Kompromittierung von Endgeräten, dem Einsatz von Ransomware, dem Abgreifen von Anmeldedaten und Betriebsstörungen in Unternehmensnetzwerken führen.
WORKAROUND:
In den bereitgestellten Informationen sind keine Workarounds oder Abhilfemaßnahmen aufgeführt. Unternehmen sollten das offizielle Microsoft-Sicherheitsupdate so schnell wie möglich installieren.
DRINGLICHKEIT:
Diese Schwachstelle erfordert sofortige Aufmerksamkeit, da sie eine Einstufung als „kritisch“, einen netzwerkbasierten Angriffsvektor, keine Authentifizierungsanforderungen, keine Benutzerinteraktion und einen CVSS-Wert von 9,8 aufweist. DNS-bezogene Schwachstellen sind besonders gefährlich, da sie auf grundlegende Netzwerkdienste abzielen, die in der gesamten Unternehmensinfrastruktur weit verbreitet sind.
CVE-2026-41089 – Windows Netlogon-Schwachstelle zur Remote-Codeausführung
„Ein anfälliger Domänencontroller kann eine speziell gestaltete Netzwerkanfrage in einen direkten Weg zur Kompromittierung des Unternehmens verwandeln.“
In Windows Netlogon besteht aufgrund eines stapelbasierten Pufferüberlaufs eine kritische Sicherheitslücke, die die Ausführung von Remote-Code ermöglicht. Ein nicht authentifizierter Angreifer könnte eine speziell gestaltete Netzwerkanfrage an einen Windows-Server senden, der als Domänencontroller fungiert, wodurch Netlogon die Anfrage fehlerhaft verarbeitet und möglicherweise vom Angreifer kontrollierten Code ausführt.
- CVSS-Score: 9,8
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG:
Diese Sicherheitslücke könnte es einem nicht authentifizierten Angreifer ermöglichen, aus der Ferne Code auf einem betroffenen Domänencontroller auszuführen. Eine erfolgreiche Ausnutzung kann zu einer Kompromittierung auf Domänenebene, zum Diebstahl von Anmeldedaten, zur Verbreitung von Malware, zu lateraler Bewegung und zu erheblichen Störungen der Authentifizierungsdienste führen.
EXPLOITS:
Zum Zeitpunkt der Veröffentlichung berichtet Microsoft, dass die Sicherheitslücke nicht öffentlich bekannt gegeben und nicht ausgenutzt wurde. Der Reifegrad des Exploit-Codes wird als „unbewiesen“ angegeben, und die Wahrscheinlichkeit einer Ausnutzung wird als „gering“ eingeschätzt.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-41089 wird durch einen stapelbasierten Pufferüberlauf in Windows Netlogon verursacht. Die Sicherheitslücke tritt auf, wenn Netlogon eine speziell gestaltete Netzwerkanfrage, die an einen als Domänencontroller fungierenden Windows-Server gesendet wird, nicht ordnungsgemäß verarbeitet. Da der Angriffsvektor netzwerkbasiert ist und keine Berechtigungen oder Benutzerinteraktion erfordert, könnte eine erfolgreiche Ausnutzung die Remote-Codeausführung auf einem hochsensiblen Authentifizierungssystem ermöglichen.
AUSNUTZBARKEIT:
Betroffene Software ist Windows Netlogon auf Windows-Servern, die als Domänencontroller fungieren. Die Ausnutzung erfordert das Senden einer speziell gestalteten Netzwerkanfrage an den anfälligen Domänencontroller. Es ist keine Anmeldung, kein vorheriger Zugriff und keine Benutzerinteraktion erforderlich.
AUSWIRKUNGEN AUF DAS GESCHÄFT:
Domänencontroller bilden die Kerninfrastruktur für die Identitätsverwaltung. Ein erfolgreicher Angriff könnte die Authentifizierung gefährden, Anmeldedaten offenlegen, weitreichende laterale Bewegungen ermöglichen und den Zugriff auf geschäftskritische Systeme stören. Dies könnte zur Verbreitung von Ransomware, Datendiebstahl und weitreichenden Betriebsausfällen führen.
WORKAROUND:
Es sind keine Abhilfemaßnahmen oder Workarounds aufgeführt. Installieren Sie das offizielle Microsoft-Sicherheitsupdate so schnell wie möglich.
DRINGLICHKEIT:
Diese Sicherheitslücke erfordert dringende Maßnahmen, da sie als „kritisch“ eingestuft ist, einen CVSS-Wert von 9,8 aufweist, auf Domänencontroller abzielt und keine Authentifizierung oder Benutzerinteraktion erfordert. Auch wenn die Ausnutzung als „weniger wahrscheinlich“ eingeschätzt wird, sind die potenziellen Auswirkungen schwerwiegend.
CVE-2026-40403 – Sicherheitslücke zur Remote-Codeausführung in der Windows-Grafikkomponente
„Eine Kompromittierung innerhalb einer virtualisierten Umgebung sollte niemals zu einer Brücke in das Host-Betriebssystem werden.“
In der Windows-Grafikkomponente (Win32K – GRFX) besteht aufgrund eines heap-basierten Pufferüberlaufs eine kritische Sicherheitslücke zur Remote-Codeausführung. Die Schwachstelle ermöglicht es einem authentifizierten Angreifer mit geringen Berechtigungen, lokal Code auszuführen und möglicherweise aus einer isolierten Ausführungsumgebung zu entkommen, einschließlich Szenarien, in denen virtuelle Gastmaschinen das Host-Betriebssystem angreifen.
- CVSS-Score: 8,8
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG:
Diese Sicherheitslücke könnte es einem Angreifer mit lokalem Zugriff ermöglichen, beliebigen Code auszuführen und möglicherweise aus isolierten Ausführungsumgebungen auszubrechen. Eine erfolgreiche Ausnutzung kann zur Kompromittierung des Host-Betriebssystems, zum unbefugten Zugriff auf sensible Systeme und zu weitreichenden Auswirkungen auf die Infrastruktur führen.
EXPLOITS:
Zum Zeitpunkt der Veröffentlichung berichtet Microsoft, dass die Schwachstelle nicht öffentlich bekannt gegeben wurde und in der Praxis nicht ausgenutzt wurde. Der Reifegrad des Exploit-Codes wird als „unbewiesen“ angegeben, und die Wahrscheinlichkeit einer Ausnutzung wird als „gering“ eingeschätzt.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-40403 wird durch einen heap-basierten Pufferüberlauf in Windows Win32K – GRFX verursacht. Die Sicherheitslücke ermöglicht es einem authentifizierten Angreifer, lokal Code auszuführen, indem er eine fehlerhafte Speicherverwaltung innerhalb der Grafikkomponente ausnutzt. Der CVSS-Geltungsbereich ist als „geändert“ gekennzeichnet, was bedeutet, dass eine erfolgreiche Ausnutzung Systeme außerhalb der ursprünglichen Sicherheitsgrenze beeinträchtigen kann.
Microsoft gibt an, dass die Schwachstelle zu einem Ausbruch aus der isolierten Ausführungsumgebung führen könnte. Ein Angreifer, der Zugriff auf eine lokale Gast-VM erhält, könnte die Schwachstelle potenziell ausnutzen, um das Host-Betriebssystem anzugreifen. Der anfällige Endpunkt ist nur über die lokale VM-Schnittstelle zugänglich, da die externe Kommunikation blockiert ist.
AUSNUTZBARKEIT:
Betroffene Software ist die Windows-Grafikkomponente (Win32K – GRFX). Die Ausnutzung erfordert lokalen Zugriff und geringe Berechtigungen. Angreifer könnten die Schwachstelle aus einer Gast-VM-Umgebung heraus missbrauchen, um das Host-Betriebssystem anzugreifen.
AUSWIRKUNGEN AUF DAS GESCHÄFT:
Virtualisierungs- und Isolationstechnologien spielen in Unternehmens- und Cloud-Umgebungen eine zentrale Rolle. Ein erfolgreicher Ausbruch aus einer isolierten Umgebung könnte die Sicherheitskontrollen des Hosts untergraben, sensible Workloads gefährden und Angreifern die Möglichkeit bieten, sich zwischen Systemen zu bewegen, die eigentlich isoliert bleiben sollten.
WORKAROUND:
Es sind keine Abhilfemaßnahmen oder Workarounds aufgeführt. Unternehmen sollten das offizielle Microsoft-Sicherheitsupdate so schnell wie möglich installieren.
DRINGLICHKEIT:
Diese Schwachstelle sollte als Problem mit hoher Priorität behandelt werden, da sie Virtualisierungs- und Isolationsgrenzen betrifft, nur geringe Berechtigungen erfordert und Szenarien ermöglichen könnte, in denen der Gast den Host kompromittiert. Auch wenn die Ausnutzung als „weniger wahrscheinlich“ eingestuft wird, haben Schwachstellen, die ein Entkommen aus der Isolation ermöglichen, erhebliche Sicherheitsauswirkungen in Unternehmens- und Cloud-Umgebungen.
CVE-2026-40402 – Windows Hyper-V-Sicherheitslücke zur Rechteausweitung
„Eine Gast-VM sollte niemals zum Einfallstor für die Kontrolle des Hyper-V-Hosts auf SYSTEM-Ebene werden.“
In Windows Hyper-V besteht eine kritische Sicherheitslücke zur Rechteausweitung aufgrund eines Use-after-free-Fehlers. Ein Angreifer könnte dieses Problem von einer Gast-VM aus ausnutzen und die Sicherheitsgrenze zur Hyper-V-Hostumgebung überschreiten. Eine erfolgreiche Ausnutzung könnte es dem Angreifer ermöglichen, SYSTEM-Rechte zu erlangen.
- CVSS-Score: 9,3
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG:
Diese Sicherheitslücke könnte es einem Angreifer ermöglichen, der von einer Hyper-V-Gastumgebung aus operiert, die Rechte auf dem Host zu erweitern. Eine erfolgreiche Ausnutzung kann zu Zugriff auf SYSTEM-Ebene, Kompromittierung des Hosts, Offenlegung von Daten, Manipulation und potenziellen Auswirkungen auf andere virtualisierte Workloads führen.
EXPLOITS:
Zum Zeitpunkt der Veröffentlichung berichtet Microsoft, dass die Schwachstelle nicht öffentlich bekannt war und nicht ausgenutzt wurde. Der Reifegrad des Exploit-Codes wird als „unbewiesen“ angegeben, und die Wahrscheinlichkeit einer Ausnutzung wird als „gering“ eingeschätzt.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-40402 wird durch eine Use-after-free-Bedingung in Windows Hyper-V verursacht. Das Problem ermöglicht es einer Gast-VM, den Hyper-V-Host-Kernel zu zwingen, von einer beliebigen, potenziell ungültigen Adresse zu lesen. In den meisten Fällen kann dies zu einem Denial-of-Service durch einen Host-Bugcheck führen. Microsoft weist jedoch darauf hin, dass Lesevorgänge, die speicherabgebildete Geräteregister betreffen, die mit an den Host angeschlossener Hardware verbunden sind, gerätespezifische Nebenwirkungen auslösen können, die die Host-Sicherheit gefährden könnten. Der CVSS-Umfang wurde geändert, da die Ausnutzung von der Sicherheitsgrenze der Gast-VM in die Hyper-V-Hostumgebung übergreifen kann.
AUSNUTZBARKEIT:
Betroffene Software ist Windows Hyper-V. Die Ausnutzung erfolgt lokal aus dem Kontext der Gast-VM heraus, erfordert keine Berechtigungen und keine Benutzerinteraktion. Ein erfolgreicher Angreifer könnte SYSTEM-Berechtigungen auf dem Hyper-V-Host erlangen.
AUSWIRKUNGEN AUF DAS GESCHÄFT:
Eine Kompromittierung des Hyper-V-Hosts kann mehrere virtuelle Maschinen und sensible Workloads gleichzeitig gefährden. Dies kann zu Verletzungen der Mandantengrenzen, Unterbrechungen der Geschäftsdienste, Datendiebstahl und einem Vertrauensverlust in die virtualisierte Infrastruktur führen.
WORKAROUND:
Es sind keine Abhilfemaßnahmen oder Workarounds aufgeführt. Installieren Sie das offizielle Microsoft-Sicherheitsupdate so schnell wie möglich.
DRINGLICHKEIT:
Diese Sicherheitslücke sollte priorisiert werden, da sie als „kritisch“ eingestuft ist, einen CVSS-Wert von 9,3 aufweist, keine Berechtigungen oder Benutzerinteraktion erfordert und die Sicherheitsgrenze zwischen Gast und Host überwinden kann. Hyper-V-Hosts, die kritische Workloads unterstützen, sollten umgehend gepatcht werden.
CVE-2026-40367 – Sicherheitslücke in Microsoft Word zur Remote-Codeausführung
„Eine Dokumentvorschau sollte niemals ein unbemerktes Auslöseelement für die Codeausführung sein.“
In Microsoft Word besteht eine kritische Sicherheitslücke zur Remote-Codeausführung aufgrund eines Fehlers bei der Dereferenzierung eines nicht vertrauenswürdigen Zeigers. Ein unbefugter Angreifer könnte die Sicherheitslücke ausnutzen, um lokal Code auszuführen, und das Vorschaufenster wurde als Angriffsvektor bestätigt, was das Risiko einer Gefährdung durch die routinemäßige Dokumentenbearbeitung erhöht.
- CVSS-Score: 8,4
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG:
Diese Sicherheitslücke könnte es Angreifern ermöglichen, über bösartige Word-Inhalte beliebigen Code auf betroffenen Systemen auszuführen. Eine erfolgreiche Ausnutzung kann zur Verbreitung von Malware, zum Diebstahl sensibler Informationen, zur Kompromittierung von Arbeitsstationen und zu weiteren Aktivitäten innerhalb der Unternehmensumgebung führen.
EXPLOITS:
Zum Zeitpunkt der Veröffentlichung berichtet Microsoft, dass die Schwachstelle nicht öffentlich bekannt gegeben und in der Praxis noch nicht ausgenutzt wurde. Der Reifegrad des Exploit-Codes wird als „unbewiesen“ angegeben, und die Wahrscheinlichkeit einer Ausnutzung wird als „unwahrscheinlich“ eingeschätzt.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-40367 wird durch eine Dereferenzierung eines nicht vertrauenswürdigen Zeigers in Microsoft Office Word verursacht. Eine unsachgemäße Behandlung von Speicherreferenzen kann es ermöglichen, dass speziell gestaltete Word-Inhalte die Ausführung von Angreifer-kontrolliertem Code auf dem lokalen System auslösen. Obwohl der Titel auf die Ausführung von Remote-Code hinweist, ist der CVSS-Angriffsvektor „Lokal“, da der schädliche Inhalt lokal vom Zielsystem verarbeitet werden muss.
Das Vorschaufenster ist als Angriffsvektor bestätigt, was bedeutet, dass eine Ausnutzung während der Dokumentvorschau erfolgen kann, ohne dass das Dokument auf herkömmliche Weise vollständig geöffnet werden muss.
AUSNUTZBARKEIT:
Betroffene Software ist Microsoft Office Word. Die Ausnutzung erfordert die lokale Verarbeitung bösartiger Word-Inhalte. Gemäß den CVSS-Metriken sind keine Berechtigungen oder Benutzerinteraktionen erforderlich, und das Vorschaufenster kann die Schwachstelle auslösen.
AUSWIRKUNGEN AUF DAS UNTERNEHMEN:
Word-Dokumente gehören nach wie vor zu den gängigsten Dateiformaten im Geschäftsleben, die per E-Mail und über Kollaborationsplattformen ausgetauscht werden. Ein erfolgreicher Angriff könnte die Systeme von Mitarbeitern kompromittieren, vertrauliche Daten offenlegen, den Diebstahl von Anmeldedaten ermöglichen und einen Einstiegspunkt für umfassendere Angriffe auf das Unternehmen schaffen.
WORKAROUND:
Es sind keine Abhilfemaßnahmen oder Workarounds aufgeführt. Microsoft gibt an, dass alle entsprechenden Update-Pakete für die betroffene Software installiert werden sollten.
DRINGLICHKEIT:
Diese Sicherheitslücke sollte als Patch-Aufgabe mit hoher Priorität behandelt werden, da sie als „kritisch“ eingestuft ist und das Vorschaufenster als Angriffsvektor dient. Auf der Vorschau basierende Ausnutzungswege reduzieren den normalerweise erforderlichen Umfang an Benutzerinteraktion und erhöhen die Gefährdung des Unternehmens durch Angriffe mit bösartigen Dokumenten.
CVE-2026-40366 – Sicherheitslücke in Microsoft Word zur Remote-Codeausführung
„Eine einfache Dokumentvorschau kann zu einem Pfad für die Codeausführung werden, wenn Speicher unsicher wiederverwendet wird.“
In Microsoft Word besteht aufgrund eines Use-after-free-Fehlers eine kritische Sicherheitslücke, die die Ausführung von Remote-Code ermöglicht. Ein unbefugter Angreifer könnte das Problem ausnutzen, um lokal Code auszuführen, wenn bösartiger Word-Inhalt verarbeitet wird. Das Vorschaufenster ist als Angriffsvektor bestätigt, was das Risiko bei der routinemäßigen Dateiverarbeitung erhöht.
- CVSS-Score: 8,4
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG:
Diese Sicherheitslücke könnte es Angreifern ermöglichen, über bösartige Word-Dokumente beliebigen Code auf betroffenen Systemen auszuführen. Eine erfolgreiche Ausnutzung kann zur Installation von Malware, zum Datendiebstahl, zur Kompromittierung von Arbeitsstationen und zur weiteren Ausbreitung innerhalb der Organisation führen.
EXPLOITS:
Zum Zeitpunkt der Veröffentlichung berichtet Microsoft, dass die Schwachstelle nicht öffentlich bekannt gegeben und nicht ausgenutzt wurde. Der Reifegrad des Exploit-Codes wird als „unbewiesen“ angegeben, und die Wahrscheinlichkeit einer Ausnutzung wird als „gering“ eingeschätzt.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-40366 wird durch eine „Use-after-free“-Situation in Microsoft Office Word verursacht. Die Schwachstelle tritt auf, wenn Word den Speicher nach seiner Freigabe nicht ordnungsgemäß verwaltet, was es speziell gestalteten Inhalten ermöglichen könnte, die Ausführung von Angreifer-kontrolliertem Code auszulösen. Obwohl im Titel „Remote Code Execution“ (Remote-Codeausführung) verwendet wird, ist der CVSS-Angriffsvektor „Lokal“, da der schädliche Inhalt auf dem Zielsystem verarbeitet werden muss. Der Vorschaubereich ist ein Angriffsvektor, was bedeutet, dass das Verhalten der Dokumentvorschau Benutzer der Ausnutzung aussetzen kann.
AUSNUTZBARKEIT:
Betroffene Software ist Microsoft Office Word. Die Ausnutzung erfordert die lokale Verarbeitung bösartiger Word-Inhalte. Gemäß den CVSS-Metriken sind keine Berechtigungen oder Benutzerinteraktionen erforderlich, und das Vorschaufenster kann als Angriffsvektor genutzt werden.
AUSWIRKUNGEN AUF DAS UNTERNEHMEN:
Ein erfolgreicher Exploit könnte die Endgeräte von Mitarbeitern kompromittieren, sensible Dokumente offenlegen, den Diebstahl von Anmeldedaten ermöglichen und Angreifern einen Einstiegspunkt für ein umfassenderes Eindringen in das Unternehmen verschaffen. Word-Dateien werden häufig per E-Mail und über Tools zur Zusammenarbeit geteilt, wodurch diese Schwachstelle besonders relevant für Phishing- und dokumentbasierte Angriffe ist.
WORKAROUND:
Es sind keine Abhilfemaßnahmen oder Workarounds aufgeführt. Installieren Sie das offizielle Microsoft-Sicherheitsupdate.
DRINGLICHKEIT:
Diese Schwachstelle sollte priorisiert werden, da sie als „kritisch“ eingestuft ist und eine Gefährdung des Vorschaufensters beinhaltet. Auch wenn die Ausnutzung als „weniger wahrscheinlich“ eingestuft wird, reduzieren Angriffspfade über die Dokumentenvorschau die Entscheidungsmöglichkeiten der Benutzer und erhöhen das Risiko durch bösartige Dateien.
CVE-2026-40365 – Schwachstelle zur Remote-Codeausführung in Microsoft SharePoint Server
„Ein SharePoint-Konto mit geringen Berechtigungen sollte niemals als Einfallstor für die Remote-Codeausführung auf dem Server dienen.“
In Microsoft SharePoint Server besteht eine kritische Sicherheitslücke zur Remote-Codeausführung aufgrund unzureichender Granularität der Zugriffskontrolle. Ein authentifizierter Angreifer mit geringen Berechtigungen, beispielsweise in der Rolle eines Site-Eigentümers, könnte die Schwachstelle ausnutzen, um beliebigen Code remote auf dem SharePoint-Server einzuschleusen und auszuführen.
- CVSS-Score: 8,8
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG:
Diese Sicherheitslücke könnte es authentifizierten Angreifern ermöglichen, beliebigen Code auf betroffenen SharePoint-Servern aus der Ferne auszuführen. Eine erfolgreiche Ausnutzung kann zur Kompromittierung des Servers, zum unbefugten Zugriff auf Geschäftsdaten, zur Verbreitung von Malware und zur Störung von Kollaborationsdiensten führen.
EXPLOITS:
Zum Zeitpunkt der Veröffentlichung berichtet Microsoft, dass die Sicherheitslücke nicht öffentlich bekannt war und in der Praxis nicht ausgenutzt wurde. Der Reifegrad des Exploit-Codes wird als „unbewiesen“ angegeben, und die Wahrscheinlichkeit einer Ausnutzung wird als „gering“ eingeschätzt.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-40365 wird durch eine unzureichende Granularität der Zugriffskontrolle in Microsoft Office SharePoint verursacht. Die Sicherheitslücke ermöglicht es einem authentifizierten Angreifer mit geringen Berechtigungen, beliebigen Code zu schreiben und die Remote-Ausführung auf dem SharePoint-Server auszulösen. Microsoft gibt an, dass ein Benutzer mit mindestens den Berechtigungen eines Site-Eigentümers die Schwachstelle in einem netzwerkbasierten Angriff ausnutzen könnte.
Die Schwachstelle weist einen Netzwerk-Angriffsvektor auf, ist von geringer Komplexität, erfordert geringe Berechtigungen und erfordert keine Benutzerinteraktion. Die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit werden alle als „Hoch“ eingestuft.
AUSNUTZBARKEIT:
Betroffene Software ist Microsoft SharePoint Server, einschließlich SharePoint Server 2016 und SharePoint Enterprise Server 2016, die dasselbe KB-Update verwenden. Die Ausnutzung erfordert ein authentifiziertes Konto mit mindestens den Rechten eines Site-Eigentümers.
AUSWIRKUNGEN AUF DAS UNTERNEHMEN:
In SharePoint-Umgebungen werden häufig sensible Dokumente, interne Kommunikation, Projektdaten und Geschäftsabläufe gespeichert. Ein erfolgreicher Angriff könnte vertrauliche Informationen offenlegen, Kollaborationsplattformen stören und Angreifern einen Zugang zum Unternehmensnetzwerk verschaffen.
WORKAROUND:
Es sind keine Abhilfemaßnahmen oder Workarounds aufgeführt. Unternehmen sollten das offizielle Microsoft-Sicherheitsupdate für betroffene SharePoint-Umgebungen so schnell wie möglich installieren.
DRINGLICHKEIT:
Diese Sicherheitslücke sollte als Problem mit hoher Priorität behandelt werden, da sie die Remote-Codeausführung auf SharePoint-Servern bereits mit geringem authentifiziertem Zugriff ermöglicht. Kollaborationsplattformen sind häufig das Ziel von Angriffen, da sie wertvolle Geschäftsdaten enthalten und oft in umfassendere Unternehmenssysteme integriert sind.
CVE-2026-40364 – Sicherheitslücke zur Remote-Codeausführung in Microsoft Word
„Die Vorschau eines Word-Dokuments kann zu einem Angriffsweg werden, noch bevor der Benutzer die Datei vollständig öffnet.“
In Microsoft Word besteht eine kritische Sicherheitslücke zur Remote-Codeausführung aufgrund von Typverwechslungen, der Verwendung nicht initialisierter Ressourcen und Schwachstellen durch heap-basierte Pufferüberläufe. Ein unbefugter Angreifer könnte die Sicherheitslücke ausnutzen, um lokal Code auszuführen, wenn bösartiger Word-Inhalt verarbeitet wird. Das Vorschaufenster ist als Angriffsvektor bestätigt.
- CVSS-Score: 8,4
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG:
Diese Sicherheitslücke könnte es Angreifern ermöglichen, über bösartigen Word-Inhalt beliebigen Code auf betroffenen Systemen auszuführen. Eine erfolgreiche Ausnutzung kann zur Kompromittierung von Endgeräten, zur Ausführung von Malware, zum Datendiebstahl und zur weiteren Ausbreitung innerhalb des Unternehmens führen.
EXPLOITS:
Zum Zeitpunkt der Veröffentlichung berichtet Microsoft, dass die Schwachstelle nicht öffentlich bekannt war und nicht ausgenutzt wurde. Der Reifegrad des Exploit-Codes wird als „unbewiesen“ angegeben, die Wahrscheinlichkeit einer Ausnutzung wird jedoch als „eher wahrscheinlich“ eingeschätzt.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-40364 betrifft den unsachgemäßen Zugriff auf eine Ressource unter Verwendung eines inkompatiblen Typs, auch bekannt als Typverwechslung, in Microsoft Office Word.
Die Schwachstelle umfasst zudem die Nutzung von Schwachstellen durch nicht initialisierte Ressourcen und heap-basierte Pufferüberläufe. Diese Probleme bei der Speicherverwaltung können es ermöglichen, dass speziell gestaltete Word-Inhalte den Speicher beschädigen und lokal von Angreifern kontrollierten Code ausführen. Obwohl im Titel „Remote Code Execution“ (Remote-Codeausführung) verwendet wird, ist der CVSS-Angriffsvektor „Lokal“, da der schädliche Inhalt auf dem Zielrechner verarbeitet werden muss. Das Vorschaufenster ist ein Angriffsvektor.
AUSNUTZBARKEIT:
Betroffene Software ist Microsoft Office Word. Die Ausnutzung erfordert die lokale Verarbeitung bösartiger Word-Inhalte, unter anderem über das Vorschaufenster. Gemäß den CVSS-Metriken sind keine Berechtigungen oder Benutzerinteraktionen erforderlich.
AUSWIRKUNGEN AUF DAS UNTERNEHMEN:
Ein erfolgreicher Angriff könnte Benutzer-Workstations kompromittieren, sensible Dokumente offenlegen, den Diebstahl von Anmeldedaten ermöglichen und Angreifern einen Fuß in das Unternehmen verschaffen. Da Word-Dokumente häufig per E-Mail, über Tools zur Zusammenarbeit und über Websites geteilt werden, eignet sich diese Schwachstelle gut für Phishing- und dokumentbasierte Angriffe.
WORKAROUND:
Es sind keine Abhilfemaßnahmen oder Workarounds aufgeführt. Installieren Sie das offizielle Microsoft-Sicherheitsupdate.
DRINGLICHKEIT:
Diese Schwachstelle sollte priorisiert werden, da sie als „kritisch“ eingestuft ist, das Vorschaufenster ein Angriffsvektor ist und die Ausnutzung als „eher wahrscheinlich“ eingeschätzt wird. Dokumentbasierte Schwachstellen können sich schnell über normale Geschäftsabläufe verbreiten und erfordern unter Umständen nur sehr wenig Benutzereingriff.
CVE-2026-40363 – Schwachstelle zur Remote-Codeausführung in Microsoft Office
„Ein bösartiges Office-Dokument kann zu einem unsichtbaren Angriffsauslöser werden, wenn bereits Vorschauaktionen eine anfällige Speicherverwaltung offenlegen.“
In Microsoft Office besteht eine kritische Sicherheitslücke zur Remote-Codeausführung aufgrund eines heap-basierten Pufferüberlaufs. Ein unbefugter Angreifer könnte die Schwachstelle ausnutzen, um lokal Code auszuführen, wenn speziell gestaltete Office-Inhalte verarbeitet werden. Das Vorschaufenster ist als Angriffsvektor bestätigt, was das Risiko bei normalen Dokumentenverarbeitungsaktivitäten erhöht.
- CVSS-Score: 8,4
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG:
Diese Sicherheitslücke könnte es Angreifern ermöglichen, über bösartige Office-Dateien beliebigen Code auf betroffenen Systemen auszuführen. Eine erfolgreiche Ausnutzung kann zur Verbreitung von Malware, zum Diebstahl von Anmeldedaten, zur Offenlegung von Daten, zur Kompromittierung von Endgeräten und zu einem umfassenderen Eindringen in das Unternehmensnetzwerk führen.
EXPLOITS:
Zum Zeitpunkt der Veröffentlichung berichtet Microsoft, dass die Sicherheitslücke nicht öffentlich bekannt war und in der Praxis nicht ausgenutzt wurde. Der Reifegrad des Exploit-Codes wird als „unbewiesen“ angegeben, und die Wahrscheinlichkeit einer Ausnutzung wird als „gering“ eingeschätzt.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-40363 wird durch einen heap-basierten Pufferüberlauf in Microsoft Office verursacht. Durch unsachgemäße Speicherverwaltung können speziell gestaltete Office-Inhalte den Speicher beschädigen und von Angreifern kontrollierten Code auf dem lokalen System ausführen. Obwohl der Titel auf die Ausführung von Remote-Code hinweist, ist der CVSS-Angriffsvektor „Lokal“, da die Ausnutzung erfolgt, wenn schädliche Inhalte lokal vom Zielrechner verarbeitet werden.
Das Vorschaufenster ist als Angriffsvektor bestätigt, was bedeutet, dass eine Ausnutzung während der Vorschau erfolgen kann, ohne dass ein Dokument auf herkömmliche Weise vollständig geöffnet werden muss.
AUSNUTZBARKEIT:
Betroffene Software ist Microsoft Office. Die Ausnutzung erfordert die lokale Verarbeitung bösartiger Office-Inhalte, unter anderem über das Vorschaufenster. Gemäß den CVSS-Metriken sind keine Berechtigungen oder Benutzerinteraktionen erforderlich.
AUSWIRKUNGEN AUF DAS UNTERNEHMEN:
Office-basierte Schwachstellen sind nach wie vor äußerst effektiv, da Office-Dokumente tief in die geschäftliche Kommunikation und Zusammenarbeit integriert sind. Ein erfolgreicher Exploit könnte die Arbeitsstationen von Mitarbeitern kompromittieren, sensible Geschäftsinformationen offenlegen und Angreifern einen ersten Zugang zu Unternehmensumgebungen verschaffen.
WORKAROUND:
Es sind keine Abhilfemaßnahmen oder Workarounds aufgeführt. Installieren Sie das offizielle Microsoft-Sicherheitsupdate für betroffene Office-Produkte.
DRINGLICHKEIT:
Diese Sicherheitslücke sollte als Patch-Aufgabe mit hoher Priorität behandelt werden, da sie als „kritisch“ eingestuft ist und der Vorschaubereich ein Angriffsvektor darstellt. Auch wenn die Ausnutzung derzeit als „weniger wahrscheinlich“ eingestuft wird, verringern Angriffe auf Dokumente über die Vorschau die üblichen Warnsignale für Benutzer und erhöhen die Wahrscheinlichkeit einer versehentlichen Offenlegung.
CVE-2026-40361 – Sicherheitslücke zur Remote-Codeausführung in Microsoft Word
„Eine Word-Vorschau kann zu einem unbemerkten Startpunkt für von Angreifern kontrollierten Code werden.“
In Microsoft Word besteht aufgrund eines Use-after-free-Fehlers eine kritische Sicherheitslücke zur Remote-Codeausführung. Ein unbefugter Angreifer könnte das Problem ausnutzen, um lokal Code auszuführen, wenn bösartiger Word-Inhalt verarbeitet wird. Das Vorschaufenster ist als Angriffsvektor bestätigt, und die Ausnutzung wird als „eher wahrscheinlich“ eingestuft.
- CVSS-Score: 8,4
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG:
Diese Sicherheitslücke könnte es Angreifern ermöglichen, über bösartige Word-Inhalte beliebigen Code auszuführen. Eine erfolgreiche Ausnutzung kann zur Kompromittierung von Endgeräten, zur Ausführung von Malware, zum Diebstahl sensibler Daten und zu einem erweiterten Zugriff innerhalb der Organisation führen.
EXPLOITS:
Zum Zeitpunkt der Veröffentlichung berichtet Microsoft, dass die Sicherheitslücke nicht öffentlich bekannt gegeben und nicht ausgenutzt wurde. Der Reifegrad des Exploit-Codes wird als „unbewiesen“ angegeben, die Wahrscheinlichkeit einer Ausnutzung wird jedoch als „eher wahrscheinlich“ eingestuft.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-40361 wird durch eine „Use-after-free“-Situation in Microsoft Office Word verursacht. Die Schwachstelle tritt auf, wenn Word Speicher nach dessen Freigabe unsachgemäß behandelt, wodurch speziell gestaltete Inhalte die Codeausführung auf dem lokalen System auslösen können. Obwohl der Titel von Remote-Codeausführung spricht, ist der CVSS-Angriffsvektor „Lokal“, da der schädliche Inhalt lokal verarbeitet werden muss. Das Vorschaufenster ist ein Angriffsvektor, der das Risiko bei routinemäßigen Dokumentenvorschauen erhöht.
AUSNUTZBARKEIT:
Betroffene Software ist Microsoft Office Word. Die Ausnutzung erfordert die lokale Verarbeitung bösartiger Word-Inhalte, unter anderem über das Vorschaufenster. Gemäß den CVSS-Metriken sind keine Berechtigungen oder Benutzerinteraktionen erforderlich.
AUSWIRKUNGEN AUF DAS UNTERNEHMEN:
Ein erfolgreicher Exploit könnte Mitarbeiter-Workstations kompromittieren, vertrauliche Dokumente offenlegen, den Diebstahl von Anmeldedaten ermöglichen und Angreifern einen Einstiegspunkt in das Unternehmen verschaffen. Word-Dateien werden häufig per E-Mail und über Tools zur Zusammenarbeit geteilt, wodurch diese Schwachstelle für Phishing-basierte Angriffe von hoher Relevanz ist.
WORKAROUND:
Es sind keine Abhilfemaßnahmen oder Workarounds aufgeführt. Wenden Sie das offizielle Microsoft-Sicherheitsupdate an.
DRINGLICHKEIT:
Dieser Sicherheitslücke sollte Priorität eingeräumt werden, da sie als „kritisch“ eingestuft ist, das Vorschaufenster ein Angriffsvektor darstellt und die Wahrscheinlichkeit einer Ausnutzung als „eher wahrscheinlich“ eingeschätzt wird. Dokumentbasierte Angriffe können sich schnell durch normale Geschäftsabläufe bewegen und erfordern unter Umständen nur sehr wenig Benutzereingriff.
CVE-2026-40358 – Sicherheitslücke zur Remote-Codeausführung in Microsoft Office
„Eine routinemäßige Dokumentenvorschau kann zu dem Moment werden, in dem ein Angreifer Codeausführung auf einem Unternehmensgerät erlangt.“
In Microsoft Office besteht aufgrund eines Use-after-free-Fehlers eine kritische Sicherheitslücke zur Remote-Codeausführung. Ein unbefugter Angreifer könnte die Sicherheitslücke ausnutzen, um lokal Code auszuführen, wenn bösartiger Office-Inhalt verarbeitet wird. Das Vorschaufenster ist als Angriffsvektor bestätigt, was das Risiko bei normalen Dokumentenverarbeitungsaktivitäten erhöht.
- CVSS-Score: 8,4
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG:
Diese Sicherheitslücke könnte es Angreifern ermöglichen, über speziell gestaltete Office-Dateien beliebigen Code auf betroffenen Systemen auszuführen. Eine erfolgreiche Ausnutzung kann zur Installation von Malware, zum Diebstahl von Anmeldedaten, zur Offenlegung sensibler Geschäftsinformationen und zur Kompromittierung von Mitarbeiter-Workstations führen.
EXPLOITS:
Zum Zeitpunkt der Veröffentlichung berichtet Microsoft, dass die Sicherheitslücke nicht öffentlich bekannt gegeben und nicht ausgenutzt wurde. Der Reifegrad des Exploit-Codes wird als „unbewiesen“ angegeben, und die Wahrscheinlichkeit einer Ausnutzung wird als „gering“ eingeschätzt.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-40358 wird durch eine „Use-after-free“-Bedingung in Microsoft Office verursacht. Die Sicherheitslücke tritt auf, wenn Office Speicher nach dessen Freigabe unsachgemäß behandelt, wodurch speziell gestaltete Inhalte möglicherweise die Ausführung von Angreifer-kontrolliertem Code auf dem lokalen System auslösen können. Obwohl der Titel auf die Ausführung von Remote-Code hinweist, ist der CVSS-Angriffsvektor „Lokal“, da der schädliche Inhalt auf dem Zielrechner verarbeitet werden muss.
Das Vorschaufenster ist als Angriffsvektor bestätigt, was bedeutet, dass eine Ausnutzung während der Vorschau erfolgen kann, ohne dass der Benutzer das Dokument vollständig öffnen muss.
AUSNUTZBARKEIT:
Betroffene Software ist Microsoft Office. Die Ausnutzung erfordert die lokale Verarbeitung bösartiger Office-Inhalte, unter anderem über das Vorschaufenster. Gemäß den CVSS-Metriken sind keine Berechtigungen oder Benutzerinteraktionen erforderlich.
AUSWIRKUNGEN AUF DAS GESCHÄFT:
Office-Anwendungen sind tief in die tägliche Geschäftskommunikation und Zusammenarbeit integriert. Ein erfolgreicher Angriff könnte Endgeräte kompromittieren, vertrauliche Informationen offenlegen, Phishing-Kampagnen unterstützen und Angreifern einen ersten Zugang zu Unternehmensnetzwerken verschaffen.
WORKAROUND:
Es sind keine Abhilfemaßnahmen oder Workarounds aufgeführt. Installieren Sie das offizielle Microsoft-Sicherheitsupdate für betroffene Office-Produkte.
DRINGLICHKEIT:
Diese Schwachstelle sollte priorisiert werden, da sie als „kritisch“ eingestuft ist und das Vorschaufenster ein Angriffsvektor darstellt. Auch wenn die Ausnutzung derzeit als „weniger wahrscheinlich“ eingeschätzt wird, erhöhen Angriffspfade über die Dokumentenvorschau das Risiko und verringern den normalerweise erforderlichen Umfang an Benutzerinteraktion.
CVE-2026-35421 – Windows GDI-Schwachstelle zur Remote-Codeausführung
„Eine manipulierte Bilddatei kann die normale Grafikverarbeitung in einen Pfad zur Codeausführung verwandeln.“
In Windows GDI besteht eine kritische Sicherheitslücke zur Remote-Codeausführung aufgrund eines heap-basierten Pufferüberlaufs. Ein unbefugter Angreifer könnte die Schwachstelle lokal ausnutzen, wenn ein Benutzer eine speziell gestaltete Enhanced Metafile-Datei mit Microsoft Paint öffnet oder verarbeitet.
- CVSS-Score: 7,8
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG:
Diese Sicherheitslücke könnte es einem Angreifer ermöglichen, über bösartige EMF-Inhalte Code auf einem betroffenen System auszuführen. Eine erfolgreiche Ausnutzung kann zur Ausführung von Malware, zum Datendiebstahl, zur Kompromittierung von Arbeitsstationen und zur weiteren Ausbreitung innerhalb der Organisation führen.
EXPLOITS:
Zum Zeitpunkt der Veröffentlichung berichtet Microsoft, dass die Schwachstelle nicht öffentlich bekannt gegeben und nicht ausgenutzt wurde. Der Reifegrad des Exploit-Codes wird als „unbewiesen“ angegeben, und die Wahrscheinlichkeit einer Ausnutzung wird als „unwahrscheinlich“ eingeschätzt.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-35421 wird durch einen heap-basierten Pufferüberlauf in Windows GDI verursacht. Die Sicherheitslücke wird ausgelöst, wenn speziell gestaltete Enhanced Metafile-Inhalte mit Microsoft Paint geöffnet oder verarbeitet werden, was dazu führt, dass die betroffene Windows-Grafikkomponente den Speicher fehlerhaft verwaltet. Obwohl im Titel „Remote Code Execution“ verwendet wird, ist der CVSS-Angriffsvektor „Lokal“, da die schädliche Datei auf dem Zielrechner verarbeitet werden muss. Eine Benutzerinteraktion ist erforderlich.
AUSNUTZBARKEIT:
Betroffene Software ist Windows GDI. Die Ausnutzung erfordert, dass ein Benutzer eine speziell gestaltete EMF-Datei mit Microsoft Paint öffnet oder verarbeitet. Es sind keine Berechtigungen erforderlich, aber eine Benutzerinteraktion ist notwendig.
AUSWIRKUNGEN AUF DAS UNTERNEHMEN:
Ein erfolgreicher Exploit könnte die Endgeräte von Mitarbeitern kompromittieren, sensible Dateien offenlegen und Angreifern einen Einstiegspunkt für weiterreichende Angriffe verschaffen. Schädliche bildbasierte Dateien können per E-Mail, Downloads oder Dateifreigaben verbreitet werden, wodurch gezielte Angriffe auf Benutzer eine realistische Gefahr darstellen.
WORKAROUND:
Es sind keine Abhilfemaßnahmen oder Workarounds aufgeführt. Installieren Sie das offizielle Microsoft-Sicherheitsupdate.
DRINGLICHKEIT:
Diese Sicherheitslücke sollte priorisiert werden, da sie als „kritisch“ eingestuft ist und über manipulierte Grafikinhalte zur Codeausführung führen kann. Auch wenn eine Ausnutzung als „unwahrscheinlich“ eingeschätzt wird, sind dateibasierte Angriffe nach wie vor eine gängige Methode, um Benutzer anzugreifen.
CVE-2026-32161 – Sicherheitslücke bei der Remote-Codeausführung im nativen Windows-WLAN-Miniport-Treiber
„Ein Angreifer in der Nähe, der sich im selben WLAN-Netzwerk befindet, sollte niemals in der Lage sein, WLAN-Datenverkehr zur Remote-Codeausführung zu nutzen.“
Im nativen Windows-WLAN-Miniport-Treiber besteht eine kritische Sicherheitslücke zur Remote-Codeausführung aufgrund einer Race-Condition und eines Use-after-free-Fehlers. Ein unbefugter Angreifer im selben Netzwerksegment könnte die Sicherheitslücke unter bestimmten zeitlichen und netzwerktechnischen Bedingungen ausnutzen, um Code auf betroffenen Systemen auszuführen.
- CVSS-Score: 7,5
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG:
Diese Sicherheitslücke könnte es Angreifern im selben lokalen oder virtuellen Netzwerksegment ermöglichen, aus der Ferne beliebigen Code auf anfälligen Windows-Systemen auszuführen. Eine erfolgreiche Ausnutzung kann zur Kompromittierung von Endgeräten, zur Verbreitung von Malware, zum Diebstahl von Anmeldedaten und zur Störung von drahtlos verbundenen Umgebungen führen.
EXPLOITS:
Zum Zeitpunkt der Veröffentlichung berichtet Microsoft, dass die Schwachstelle nicht öffentlich bekannt gegeben und nicht ausgenutzt wurde. Der Reifegrad des Exploit-Codes wird als „unbewiesen“ angegeben, und die Wahrscheinlichkeit einer Ausnutzung wird als „gering“ eingeschätzt.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-32161 wird durch die gleichzeitige Ausführung unter Verwendung gemeinsam genutzter Ressourcen mit unsachgemäßer Synchronisation verursacht, was allgemein als Race Condition bekannt ist, sowie durch einen Use-after-free-Fehler im Windows Native WiFi Miniport Driver. Die Sicherheitslücke tritt auf, wenn der Treiber Speicher und Synchronisation während des Betriebs im drahtlosen Netzwerk unsachgemäß handhabt. Ein Angreifer im selben Netzwerksegment kann günstige Zeitbedingungen ausnutzen, um eine Speicherbeschädigung auszulösen und vom Angreifer kontrollierten Code auszuführen.
Der Angriffsvektor ist „Adjacent“, was bedeutet, dass die Ausnutzung auf Systeme beschränkt ist, die mit demselben Netzwerksegment, Switch oder virtuellen Netzwerk verbunden sind wie der Angreifer. Microsoft weist darauf hin, dass die Ausnutzung bestimmte Netzwerkkonfigurationen und zeitliche Bedingungen erfordert, was eine zuverlässige Ausnutzung erschwert.
AUSNUTZBARKEIT:
Betroffene Software ist der Windows Native WiFi Miniport Driver. Die Ausnutzung erfordert, dass sich der Angreifer im selben Netzwerksegment wie das Zielsystem befindet. Es sind keine Berechtigungen oder Benutzerinteraktionen erforderlich.
AUSWIRKUNGEN AUF DAS UNTERNEHMEN:
Sicherheitslücken in der drahtlosen Infrastruktur können Endgeräte, Roaming-Geräte und Remote-Arbeitsumgebungen von Unternehmen gefährden. Eine erfolgreiche Ausnutzung könnte es Angreifern ermöglichen, in lokalen Netzwerksegmenten Fuß zu fassen und potenziell tiefer in Unternehmenssysteme vorzudringen.
WORKAROUND:
Es sind keine Abhilfemaßnahmen oder Workarounds aufgeführt. Unternehmen sollten das offizielle Microsoft-Sicherheitsupdate so schnell wie möglich installieren.
DRINGLICHKEIT:
Diese Schwachstelle sollte bei drahtlosfähigen Unternehmenssystemen priorisiert werden, da sie die Remote-Codeausführung ohne Authentifizierung oder Benutzerinteraktion ermöglicht. Obwohl die Ausnutzung einen angrenzenden Netzwerkzugang und komplexe zeitliche Bedingungen erfordert, bleiben drahtlose Angriffspfade attraktive Ziele in gemeinsamen Büro-, Campus- und öffentlichen Netzwerkumgebungen.
CVE-2026-40372 – ASP.NET Core-Sicherheitslücke zur Rechteausweitung
„Wenn die Signaturvalidierung versagt, benötigen Angreifer keine Anmeldedaten – sie können Vertrauen vortäuschen und direkt die Kontrolle auf SYSTEM-Ebene erlangen.“
Diese Schwachstelle in ASP.NET Core entsteht durch eine unsachgemäße Überprüfung kryptografischer Signaturen innerhalb der Data Protection-Komponente. Unter bestimmten Bedingungen – insbesondere in Nicht-Windows-Umgebungen, die betroffene Paketversionen verwenden – kann ein Angreifer bösartige Payloads erstellen, die Integritätsprüfungen umgehen. Dies ermöglicht eine unbefugte Rechteausweitung über das Netzwerk, ohne dass eine Authentifizierung oder Benutzerinteraktion erforderlich ist, was potenziell Zugriff auf SYSTEM-Ebene gewährt und die Offenlegung oder Manipulation sensibler Daten ermöglicht.
- CVSS-Score: 9,1
- SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG: Diese Schwachstelle untergräbt eine der grundlegendsten Sicherheitsgarantien – die Datenintegrität. Wenn Angreifer vertrauenswürdige Payloads fälschen können, können sie sich als Benutzer ausgeben, Berechtigungen ausweiten und das Anwendungsverhalten manipulieren, ohne entdeckt zu werden. Das Risiko ist besonders hoch, da die Ausnutzung keinen vorherigen Zugriff erfordert und aus der Ferne ausgeführt werden kann.
EXPLOITS:
Derzeit sind keine öffentlichen Exploits oder Proof-of-Concept-Codes bestätigt. Die Schwachstelle wurde nicht öffentlich als ausgenutzt bekannt gegeben, und eine Ausnutzung wird zum jetzigen Zeitpunkt als unwahrscheinlich angesehen. Die Einfachheit des Angriffsvektors und das Fehlen erforderlicher Berechtigungen erhöhen jedoch die Wahrscheinlichkeit einer zukünftigen Ausnutzung.
TECHNISCHE ZUSAMMENFASSUNG:
Die Schwachstelle wird durch eine unsachgemäße Überprüfung kryptografischer Signaturen (CWE-347) in der ASP.NET Core Data Protection-Bibliothek verursacht, insbesondere in den Versionen 10.0.0 bis 10.0.6. Ein Fehler in der verwalteten kryptografischen Implementierung führt zu einer fehlerhaften Validierung geschützter Nutzdaten, wodurch manipulierte oder gefälschte Daten als gültig behandelt werden können. Dies betrifft Authentifizierungstoken, Cookies und andere geschützte Datenstrukturen. Das Problem betrifft in erster Linie Anwendungen, die unter Linux, macOS oder Nicht-Windows-Systemen laufen, auf denen verwaltete Kryptografie verwendet wird. Windows-Systeme, die die standardmäßige CNG-basierte Verschlüsselung verwenden, sind nicht betroffen, sofern sie nicht explizit für die Verwendung verwalteter Algorithmen konfiguriert wurden.
AUSNUTZBARKEIT:
Zu den betroffenen Systemen gehören ASP.NET Core-Anwendungen, die Microsoft.
AspNetCore.DataProtection in den Versionen 10.0.0–10.0.6, insbesondere in eigenständigen Bereitstellungen oder wenn das NuGet-Paket das gemeinsame Framework überschreibt. Die Ausnutzung erfolgt durch das Senden speziell gestalteter Nutzdaten an die Anwendung, um die Signaturvalidierung zu umgehen und erweiterte Berechtigungen zu erlangen.
AUSWIRKUNGEN AUF DAS GESCHÄFT:
Diese Sicherheitslücke kann zu einer vollständigen Kompromittierung der Vertrauensgrenzen der Anwendung führen. Angreifer können sich Privilegien auf SYSTEM-Ebene verschaffen, auf sensible Daten zugreifen, kritische Datensätze ändern und gültige Authentifizierungsartefakte generieren, die auch nach der Behebung bestehen bleiben. Dies birgt Risiken hinsichtlich langfristiger Persistenz, Datenverletzungen, Verstößen gegen Vorschriften und Reputationsschäden.
ABHILFE:
Wenn ein Patch nicht sofort verfügbar ist, sollten Sie die Verwendung betroffener Versionen des Data Protection-Pakets vermeiden, sicherstellen, dass Anwendungen auf das gemeinsame Framework zurückgreifen, sofern dies sicher ist, die Exposition anfälliger Dienste einschränken und Protokolle auf Anomalien wie wiederholte Fehler bei ungültigen Payloads überwachen. Der Übergang zu nicht betroffenen Umgebungen oder Konfigurationen kann das Risiko vorübergehend verringern.
DRINGLICHKEIT:
Die Kombination aus netzwerkbasierter Ausnutzung, fehlender Authentifizierungsanforderung und erheblichen Auswirkungen auf Vertraulichkeit und Integrität macht diese Schwachstelle extrem gefährlich. Auch wenn bisher noch keine Ausnutzung beobachtet wurde, sind die Bedingungen ideal für eine rasche Übernahme durch Angreifer. Ein sofortiges Patchen, kombiniert mit der Validierung von Laufzeit-Binärdateien und der Schlüsselrotation, ist entscheidend, um sowohl eine anfängliche Kompromittierung als auch eine Persistenz nach dem Patchen zu verhindern.
CVE-2026-20929 – Windows HTTP.sys-Sicherheitslücke zur Rechteausweitung
„Diese Schwachstelle verwandelt einen vertrauenswürdigen Netzwerkzugang in eine Möglichkeit, innerhalb von Windows weiter aufzusteigen, wodurch eine routinemäßige Kompromittierung weitaus gefährlicher wird.“
CVE-2026-20929 ist eine hochgradige Sicherheitslücke zur Rechteausweitung in Microsoft Windows HTTP.sys, die durch eine unsachgemäße Zugriffskontrolle verursacht wird. Sie ermöglicht es einem autorisierten Angreifer, über ein Netzwerk hinweg Berechtigungen zu erweitern, was bedeutet, dass ein Angreifer, der bereits über einen gewissen Zugriff verfügt, die Schwachstelle nutzen könnte, um eine stärkere Kontrolle über ein betroffenes System zu erlangen. Obwohl hier keine bestätigten öffentlichen Exploits aufgeführt sind, ist das Problem dennoch schwerwiegend, da Schwachstellen zur Rechteausweitung Angreifern oft dabei helfen, ein Eindringen zu vertiefen, den Zugriff zu erweitern und die Persistenz nach einem anfänglichen Einbruch zu stärken.
- CVSS-Score: 7,5
- SCHWERWIEGENDKEIT: Hoch
BEDROHUNG:
Ein autorisierter Angreifer könnte eine unsachgemäße Zugriffskontrolle in Windows HTTP.sys ausnutzen, um über ein Netzwerk Berechtigungen zu erweitern. Dies macht die Schwachstelle besonders besorgniserregend in Umgebungen, in denen Angreifer möglicherweise bereits über einen Zugang mit geringen Berechtigungen verfügen und versuchen, administrative Kontrolle zu erlangen.
EXPLOITS:
In den bereitgestellten Daten ist keine bestätigte aktive Ausnutzung vermerkt. Es gibt hier auch keinen eindeutigen öffentlichen Zero-Day-Status. Da es sich jedoch um ein netzwerkbasiertes Problem der Rechteausweitung in einer zentralen Windows-Komponente handelt, sollten Sicherheitsteams davon ausgehen, dass ein Interesse an Exploits wahrscheinlich ist, sobald die Analyse des Patches weit verbreitet ist.
TECHNISCHE ZUSAMMENFASSUNG:
CVE-2026-20929 betrifft Windows HTTP.sys, den HTTP-Protokollstack auf Kernel-Ebene, der von Windows zur Verarbeitung des Webverkehrs und zur Unterstützung HTTP-basierter Dienste verwendet wird. Die Schwachstelle wird durch eine unsachgemäße Zugriffskontrolle verursacht, was bedeutet, dass HTTP.sys unter bestimmten Bedingungen Einschränkungen nicht korrekt durchsetzt. Ein Angreifer mit autorisiertem Zugriff kann diese Schwachstelle über das Netzwerk ausnutzen, um erweiterte Berechtigungen auf dem Zielsystem zu erlangen. Da HTTP.sys in einem Bereich des Betriebssystems mit hohen Berechtigungen arbeitet, kann eine erfolgreiche Ausnutzung schwerwiegende Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit haben. In der Praxis kann diese Schwachstelle einem Angreifer helfen, von einem eingeschränkten Zugriff zu einer weitaus mächtigeren Position auf dem Host zu gelangen, was die Wahrscheinlichkeit einer tiefergehenden Kompromittierung und Folgeangriffen erhöht.
AUSNUTZBARKEIT:
Betroffene Versionen sind Windows 10 Version 1607 und andere unterstützte Windows-Versionen, die die anfällige HTTP.sys-Komponente vor den entsprechenden Sicherheitsupdates verwenden. Unter Windows 10 Version 1607 sind Builds vor 10.0.14393.8783 anfällig. Für die Ausnutzung muss der Angreifer bereits über eine gewisse Berechtigung verfügen und in der Lage sein, das Ziel über das Netzwerk zu erreichen.
AUSWIRKUNGEN AUF DAS UNTERNEHMEN:
Diese Sicherheitslücke ist gefährlich, da sie Angreifern helfen kann, eine kleine Sicherheitsverletzung in einen schwerwiegenden Sicherheitsvorfall zu verwandeln. Eine geringfügige Kompromittierung, die andernfalls eingedämmt werden könnte, kann zum Sprungbrett für privilegierten Zugriff, umfassendere Systemkontrolle und stärkere Persistenz werden. Aus geschäftlicher Sicht kann dies zu Dienstunterbrechungen, unbefugtem Zugriff auf sensible Daten, Schäden an kritischen Systemen und erhöhten Wiederherstellungskosten führen. Mächtige Schwachstellen zur Privilegienerweiterung werden oft zum Kraftmultiplikator, der gewöhnliche Einbruchsaktivitäten in eine vollwertige Betriebskrise verwandelt.
WORKAROUND:
Die bevorzugte Abhilfemaßnahme ist die Installation des Sicherheitsupdates von Microsoft. Wenn der Patch nicht sofort bereitgestellt werden kann, verringern Sie das Risiko, indem Sie den Zugriff auf betroffene Systeme einschränken, unnötige HTTP-basierte Dienste beschränken, sensible Hosts segmentieren und verdächtige Aktivitäten zur Privilegienerweiterung im Zusammenhang mit HTTP-Diensten genau überwachen. Es gibt keinen wirksamen Ersatz für das Patchen.
Sicherheitsupdates vom Patch Tuesday im Mai 2026
| Tag | CVE ID | CVE Title | Severity |
|---|---|---|---|
| .NET | CVE-2026-35433 | .NET Elevation of Privilege Vulnerability | Important |
| .NET | CVE-2026-32177 | .NET Elevation of Privilege Vulnerability | Important |
| .NET | CVE-2026-32175 | .NET Core Tampering Vulnerability | Important |
| AMD CPU Branch | CVE-2025-54518 | AMD: CVE-2025-54518 CPU OP Cache Corruption | Important |
| ASP.NET Core | CVE-2026-42899 | ASP.NET Core Denial of Service Vulnerability | Important |
| Azure Connected Machine Agent | CVE-2026-40381 | Azure Connected Machine Agent Elevation of Privilege Vulnerability | Important |
| Azure Logic Apps | CVE-2026-42823 | Azure Logic Apps Elevation of Privilege Vulnerability | Important |
| Azure Machine Learning | CVE-2026-33833 | Azure Machine Learning Notebook Spoofing Vulnerability | Important |
| Azure Monitor Agent | CVE-2026-32204 | Azure Monitor Agent Elevation of Privilege Vulnerability | Important |
| Azure Monitor Agent | CVE-2026-42830 | Azure Monitor Agent Metrics Extension Elevation of Privilege Vulnerability | Important |
| Azure SDK | CVE-2026-33117 | Azure SDK for Java Security Feature Bypass Vulnerability | Important |
| Data Deduplication | CVE-2026-41095 | Data Deduplication Elevation of Privilege Vulnerability | Important |
| Dynamics Business Central | CVE-2026-40417 | Microsoft Dynamics 365 Business Central Elevation of Privilege Vulnerability | Important |
| GitHub Copilot and Visual Studio | CVE-2026-41109 | GitHub Copilot and Visual Studio Code Security Feature Bypass Vulnerability | Important |
| M365 Copilot | CVE-2026-41100 | Microsoft 365 Copilot for Android Spoofing Vulnerability | Important |
| M365 Copilot | CVE-2026-42893 | Microsoft Outlook for iOS Tampering Vulnerability | Important |
| M365 Copilot | CVE-2026-26164 | M365 Copilot Information Disclosure Vulnerability | Critical |
| M365 Copilot for Desktop | CVE-2026-41614 | M365 Copilot for Desktop Spoofing Vulnerability | Important |
| Microsoft Data Formulator | CVE-2026-41094 | Microsoft Data Formulator Remote Code Execution Vulnerability | Important |
| Microsoft Dynamics 365 (on-premises) | CVE-2026-42898 | Microsoft Dynamics 365 On-Premises Remote Code Execution Vulnerability | Critical |
| Microsoft Dynamics 365 (on-premises) | CVE-2026-42833 | Microsoft Dynamics 365 On-Premises Remote Code Execution Vulnerability | Important |
| Microsoft Office | CVE-2026-42832 | Microsoft Office Spoofing Vulnerability | Important |
| Microsoft Office | CVE-2026-42831 | Microsoft Office Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2026-40363 | Microsoft Office Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2026-40419 | Microsoft Office Click-To-Run Elevation of Privilege Vulnerability | Important |
| Microsoft Office | CVE-2026-40358 | Microsoft Office Remote Code Execution Vulnerability | Critical |
| Microsoft Office Click-To-Run | CVE-2026-35436 | Microsoft Office Click-To-Run Elevation of Privilege Vulnerability | Important |
| Microsoft Office Click-To-Run | CVE-2026-40420 | Microsoft Office Click-To-Run Elevation of Privilege Vulnerability | Important |
| Microsoft Office Click-To-Run | CVE-2026-40418 | Microsoft Office Click-To-Run Elevation of Privilege Vulnerability | Important |
| Microsoft Office Excel | CVE-2026-40360 | Microsoft Excel Information Disclosure Vulnerability | Important |
| Microsoft Office Excel | CVE-2026-40362 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2026-40359 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office PowerPoint | CVE-2026-41102 | Microsoft PowerPoint for Android Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-40368 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-35439 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-33112 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-40365 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Critical |
| Microsoft Office SharePoint | CVE-2026-40357 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-33110 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Important |
| Microsoft Office Word | CVE-2026-40361 | Microsoft Word Remote Code Execution Vulnerability | Critical |
| Microsoft Office Word | CVE-2026-40367 | Microsoft Word Remote Code Execution Vulnerability | Critical |
| Microsoft Office Word | CVE-2026-35440 | Microsoft Word Information Disclosure Vulnerability | Important |
| Microsoft Office Word | CVE-2026-40421 | Microsoft Word Information Disclosure Vulnerability | Important |
| Microsoft Office Word | CVE-2026-41101 | Microsoft Word for Android Spoofing Vulnerability | Important |
| Microsoft Office Word | CVE-2026-40366 | Microsoft Word Remote Code Execution Vulnerability | Critical |
| Microsoft Office Word | CVE-2026-40364 | Microsoft Word Remote Code Execution Vulnerability | Critical |
| Microsoft SSO Plugin for Jira & Confluence | CVE-2026-41103 | Microsoft SSO Plugin for Jira & Confluence Elevation of Privilege Vulnerability | Critical |
| Microsoft Teams | CVE-2026-32185 | Microsoft Teams Spoofing Vulnerability | Important |
| Microsoft Windows DNS | CVE-2026-41096 | Windows DNS Client Remote Code Execution Vulnerability | Critical |
| Power Automate | CVE-2026-40374 | Microsoft Power Automate Desktop Information Disclosure Vulnerability | Important |
| SQL Server | CVE-2026-40370 | SQL Server Remote Code Execution Vulnerability | Important |
| Telnet Client | CVE-2026-35423 | Windows 11 Telnet Client Information Disclosure Vulnerability | Important |
| Visual Studio Code | CVE-2026-41613 | Visual Studio Code Elevation of Privilege Vulnerability | Important |
| Visual Studio Code | CVE-2026-41612 | Visual Studio Code Information Disclosure Vulnerability | Important |
| Visual Studio Code | CVE-2026-41610 | Visual Studio Code Security Feature Bypass Vulnerability | Important |
| Visual Studio Code | CVE-2026-41611 | Visual Studio Code Remote Code Execution Vulnerability | Important |
| Windows Admin Center | CVE-2026-41086 | Windows Admin Center in Azure Portal Elevation of Privilege Vulnerability | Important |
| Windows Admin Center | CVE-2026-35438 | Windows Admin Center Elevation of Privilege Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2026-35416 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2026-41088 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2026-34345 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2026-34344 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Application Identity (AppID) Subsystem | CVE-2026-34343 | Windows Application Identity (AppID) Subsystem Elevation of Privilege Vulnerability | Important |
| Windows Cloud Files Mini Filter Driver | CVE-2026-34337 | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability | Important |
| Windows Cloud Files Mini Filter Driver | CVE-2026-35418 | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability | Important |
| Windows Cloud Files Mini Filter Driver | CVE-2026-33835 | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability | Important |
| Windows Common Log File System Driver | CVE-2026-40397 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Important |
| Windows Common Log File System Driver | CVE-2026-40407 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Important |
| Windows Cryptographic Services | CVE-2026-40377 | Microsoft Cryptographic Services Elevation of Privilege Vulnerability | Important |
| Windows DWM Core Library | CVE-2026-34336 | Windows DWM Core Library Information Disclosure Vulnerability | Important |
| Windows DWM Core Library | CVE-2026-42896 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important |
| Windows DWM Core Library | CVE-2026-35419 | Windows DWM Core Library Information Disclosure Vulnerability | Important |
| Windows Event Logging Service | CVE-2026-33834 | Windows Event Logging Service Elevation of Privilege Vulnerability | Important |
| Windows Filtering Platform (WFP) | CVE-2026-32209 | Windows Filtering Platform (WFP) Security Feature Bypass Vulnerability | Important |
| Windows GDI | CVE-2026-35421 | Windows GDI Remote Code Execution Vulnerability | Critical |
| Windows Hyper-V | CVE-2026-40402 | Windows Hyper-V Elevation of Privilege Vulnerability | Critical |
| Windows Internet Key Exchange (IKE) Protocol | CVE-2026-35424 | Internet Key Exchange (IKE) Protocol Denial of Service Vulnerability | Important |
| Windows Kernel | CVE-2026-40369 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows Kernel | CVE-2026-33841 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows Kernel | CVE-2026-35420 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows Kernel-Mode Drivers | CVE-2026-34332 | Windows Kernel-Mode Driver Remote Code Execution Vulnerability | Important |
| Windows Kernel-Mode Drivers | CVE-2026-40408 | Windows WAN ARP Driver Elevation of Privilege Vulnerability | Important |
| Windows LDAP – Lightweight Directory Access Protocol | CVE-2026-34339 | Windows Lightweight Directory Access Protocol (LDAP) Denial of Service Vulnerability | Important |
| Windows Link-Layer Discovery Protocol (LLDP) | CVE-2026-34341 | Windows Link-Layer Discovery Protocol (LLDP) Elevation of Privilege Vulnerability | Important |
| Windows Message Queuing | CVE-2026-34329 | Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability | Important |
| Windows Message Queuing | CVE-2026-33838 | Windows Message Queuing (MSMQ) Elevation of Privilege Vulnerability | Important |
| Windows Native WiFi Miniport Driver | CVE-2026-32161 | Windows Native WiFi Miniport Driver Remote Code Execution Vulnerability | Critical |
| Windows Netlogon | CVE-2026-41089 | Windows Netlogon Remote Code Execution Vulnerability | Critical |
| Windows Print Spooler Components | CVE-2026-34342 | Windows Print Spooler Elevation of Privilege Vulnerability | Important |
| Windows Projected File System | CVE-2026-34340 | Windows Projected File System Elevation of Privilege Vulnerability | Important |
| Windows Remote Desktop | CVE-2026-40398 | Windows Remote Desktop Services Elevation of Privilege Vulnerability | Important |
| Windows Rich Text Edit | CVE-2026-21530 | Windows Rich Text Edit Elevation of Privilege Vulnerability | Important |
| Windows Rich Text Edit Control | CVE-2026-32170 | Windows Rich Text Edit Elevation of Privilege Vulnerability | Important |
| Windows Secure Boot | CVE-2026-41097 | Secure Boot Security Feature Bypass Vulnerability | Important |
| Windows SMB Client | CVE-2026-40410 | Windows SMB Client Elevation of Privilege Vulnerability | Important |
| Windows Storage Spaces Controller | CVE-2026-35415 | Windows Storage Spaces Controller Elevation of Privilege Vulnerability | Important |
| Windows Storport Miniport Driver | CVE-2026-34350 | Windows Storport Miniport Driver Denial of Service Vulnerability | Important |
| Windows TCP/IP | CVE-2026-34351 | Windows TCP/IP Elevation of Privilege Vulnerability | Important |
| Windows TCP/IP | CVE-2026-33837 | Windows TCP/IP Local Elevation of Privilege Vulnerability | Important |
| Windows TCP/IP | CVE-2026-40406 | Windows TCP/IP Information Disclosure Vulnerability | Important |
| Windows TCP/IP | CVE-2026-40414 | Windows TCP/IP Denial of Service Vulnerability | Important |
| Windows TCP/IP | CVE-2026-34334 | Windows TCP/IP Elevation of Privilege Vulnerability | Important |
| Windows TCP/IP | CVE-2026-40399 | Windows TCP/IP Elevation of Privilege Vulnerability | Important |
| Windows TCP/IP | CVE-2026-35422 | Windows TCP/IP Driver Security Feature Bypass Vulnerability | Important |
| Windows TCP/IP | CVE-2026-40413 | Windows TCP/IP Denial of Service Vulnerability | Important |
| Windows TCP/IP | CVE-2026-40415 | Windows TCP/IP Remote Code Execution Vulnerability | Important |
| Windows TCP/IP | CVE-2026-40401 | Windows TCP/IP Denial of Service Vulnerability | Important |
| Windows TCP/IP | CVE-2026-40405 | Windows TCP/IP Denial of Service Vulnerability | Important |
| Windows Telephony Service | CVE-2026-40382 | Windows Telephony Service Elevation of Privilege Vulnerability | Important |
| Windows Telephony Service | CVE-2026-34338 | Windows Telephony Service Elevation of Privilege Vulnerability | Important |
| Windows Telephony Service | CVE-2026-42825 | Windows Telephony Service Elevation of Privilege Vulnerability | Important |
| Windows Volume Manager Extension Driver | CVE-2026-40380 | Windows Volume Manager Extension Driver Remote Code Execution Vulnerability | Important |
| Windows Win32K – GRFX | CVE-2026-33839 | Win32k Elevation of Privilege Vulnerability | Important |
| Windows Win32K – GRFX | CVE-2026-40403 | Windows Graphics Component Remote Code Execution Vulnerability | Critical |
| Windows Win32K – GRFX | CVE-2026-34347 | Windows Win32k Elevation of Privilege Vulnerability | Important |
| Windows Win32K – GRFX | CVE-2026-34333 | Windows Win32k Elevation of Privilege Vulnerability | Important |
| Windows Win32K – GRFX | CVE-2026-34330 | Win32k Elevation of Privilege Vulnerability | Important |
| Windows Win32K – GRFX | CVE-2026-34331 | Win32k Elevation of Privilege Vulnerability | Important |
| Windows Win32K – ICOMP | CVE-2026-35417 | Windows Win32k Elevation of Privilege Vulnerability | Important |
| Windows Win32K – ICOMP | CVE-2026-33840 | Win32k Elevation of Privilege Vulnerability | Important |