Microsoft hat diesen Monat richtig ausgeholt. Mit 167 geschlossenen Sicherheitslücken ist der April 2026 einer der umfangreichsten Patchdays seit langem. Aber wie so oft gilt: Wo viel gehobelt wird, fallen Späne – besonders Admins von Windows Server sollten diesen Monat zweimal hinschauen, bevor sie auf „Neustart“ klicken.

Die kritischen Lücken (Zero-Days)

Ganz oben auf der Liste stehen zwei Schwachstellen, die bereits vorab bekannt waren oder aktiv ausgenutzt werden:

1. CVE-2026-32201 (Microsoft SharePoint Server): Diese Spoofing-Lücke wird bereits für Angriffe genutzt. Wer SharePoint im Einsatz hat, sollte hier keine Zeit verlieren.
2. CVE-2026-33825 (Microsoft Defender): Eine Schwachstelle zur Ausweitung von Berechtigungen (Elevation of Privilege). Hier bekommt ein Angreifer SYSTEM-Rechte. Microsoft hat den Fix bereits über die Defender-Plattform-Updates (Version 4.18.26030.3011) ausgerollt, aber eine manuelle Prüfung schadet nicht.

Insgesamt gibt es acht als „Kritisch“ eingestufte Fehler, die meisten davon erlauben Remote Code Execution (RCE) – also das Ausführen von Schadcode aus der Ferne.

CVE-2026-33827 – Sicherheitslücke in Windows TCP/IP, die die Ausführung von Remote-Code ermöglicht

„Ein einziges fehlerhaftes Paket reicht aus – diese Schwachstelle ermöglicht es Angreifern, den Netzwerkzugriff zu einer vollständigen Systemkompromittierung zu nutzen, ohne sich jemals anzumelden.“

Diese kritische Sicherheitslücke im Windows-TCP/IP-Stack wird durch eine Race Condition bei der Behandlung gemeinsam genutzter Ressourcen während der gleichzeitigen Ausführung verursacht. Ein nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, indem er speziell gestaltete IPv6-Pakete an ein Zielsystem mit aktiviertem IPSec sendet, wodurch potenziell eine Remote-Codeausführung erreicht werden kann. Obwohl ein präzises Timing erforderlich ist, sind die Auswirkungen schwerwiegend und ermöglichen die vollständige Kontrolle über betroffene Systeme.

CVSS-Score: 8,1
SCHWERWIEGUNG: Kritisch
BEDROHUNG: Remote-Code-Ausführung über Race Condition im TCP/IP-Stack

EXPLOITS:

Derzeit sind keine öffentlichen Exploits oder Proof-of-Concept-Codes bekannt, und die Schwachstelle wurde vor der Veröffentlichung nicht öffentlich bekannt gegeben. Eine Ausnutzung wird aufgrund der Komplexität, die Race Condition zu gewinnen, als eher unwahrscheinlich angesehen.

TECHNISCHE ZUSAMMENFASSUNG:

Die Schwachstelle entsteht durch eine fehlerhafte Synchronisation bei der Verarbeitung gemeinsam genutzter Ressourcen innerhalb des Windows-TCP/IP-Stacks, insbesondere im Zusammenhang mit der IPv6- und IPSec-Verarbeitung. Aufgrund einer Race Condition können mehrere Threads, die auf dieselbe Ressource zugreifen, zu Speicherbeschädigungen oder inkonsistenten Systemzuständen führen. Ein Angreifer kann dies ausnutzen, indem er speziell gestaltete IPv6-Pakete sendet, die darauf ausgelegt sind, die Race Condition im richtigen Moment auszulösen. Bei Erfolg kann dies zur Ausführung von beliebigem Code im Kernel-Kontext führen, wodurch der Angreifer vollständige Kontrolle über das System erlangt.

AUSNUTZBARKEIT:

• Betrifft Windows-Systeme, auf denen IPv6 und IPSec aktiviert sind.
• Die Ausnutzung erfordert keine Authentifizierung, aber ein präzises Timing, um die Race Condition zu gewinnen.

AUSWIRKUNGEN AUF DAS UNTERNEHMEN:

Diese Sicherheitslücke stellt eine Bedrohung mit hohen Auswirkungen dar, da sie es Angreifern ermöglicht, Systeme aus der Ferne ohne Anmeldedaten oder Benutzerinteraktion zu kompromittieren. Eine erfolgreiche Ausnutzung könnte zur vollständigen Übernahme des Systems, zum Einsatz von Ransomware, zur lateralen Bewegung über Netzwerke hinweg und zur Störung kritischer Dienste führen. Trotz hoher Komplexität stellt der potenzielle Schaden ein ernstes Unternehmensrisiko dar.

WORKAROUND:

Falls ein Patch nicht sofort verfügbar ist:

• Deaktivieren Sie IPv6, sofern nicht erforderlich
• Deaktivieren Sie IPSec, wo dies möglich ist
• Beschränken Sie die Netzwerkexposition auf vertrauenswürdige Quellen

DRINGLICHKEIT:

Dies ist eine kritische Sicherheitslücke zur Remote-Codeausführung, die keine Authentifizierung oder Benutzerinteraktion erfordert. Auch wenn die Ausnutzung komplex ist, erhöht die Möglichkeit einer vollständigen Kompromittierung des Systems durch ein einziges Netzwerkpaket das Risiko erheblich. Systeme, die nicht vertrauenswürdigen Netzwerken ausgesetzt sind, sind besonders gefährdet, weshalb eine schnelle Bereitstellung von Patches unerlässlich ist, um potenzielle groß angelegte Angriffe zu verhindern.

CVE-2026-33826 – Sicherheitslücke bei der Remote-Codeausführung in Windows Active Directory

„Ein vertrauenswürdiger Domänenbenutzer kann zu einem unsichtbaren Angreifer werden – diese Schwachstelle macht den routinemäßigen Verzeichniszugriff zu einer Ausgangsbasis für die vollständige Kompromittierung des Systems.“

Diese Sicherheitslücke in Windows Active Directory wird durch eine unsachgemäße Eingabevalidierung verursacht und ermöglicht es einem authentifizierten Angreifer innerhalb derselben Domäne, beliebigen Code auf einem Zielsystem auszuführen. Durch das Senden speziell gestalteter RPC-Anfragen kann ein Angreifer die Schwachstelle ausnutzen, um die Kontrolle über betroffene Server zu erlangen, was dies zu einer ernsthaften Bedrohung in Unternehmensumgebungen macht, in denen Vertrauensgrenzen von entscheidender Bedeutung sind.

CVSS-Score: 8,0
SCHWERWIEGUNG: Kritisch
BEDROHUNG: Remote-Code-Ausführung durch unsachgemäße Eingabevalidierung bei der RPC-Verarbeitung in Active Directory

EXPLOITS:

Derzeit sind keine öffentlichen Exploits oder Proof-of-Concept-Codes bekannt, und die Schwachstelle wurde vor der Veröffentlichung nicht öffentlich bekannt gegeben. Aufgrund der geringen Komplexität des Angriffs wird eine Ausnutzung jedoch als wahrscheinlich eingestuft.

TECHNISCHE ZUSAMMENFASSUNG:

Die Schwachstelle resultiert aus einer unzureichenden Validierung von Eingabedaten innerhalb der RPC-Verarbeitungsmechanismen von Active Directory. Ein authentifizierter Angreifer in derselben Domäne kann speziell gestaltete RPC-Aufrufe an einen Zielserver senden. Aufgrund der unzureichenden Validierung können böswillige Eingaben so verarbeitet werden, dass es zu Speicherbeschädigungen oder unbeabsichtigten Ausführungswegen kommt. Dies kann es dem Angreifer ermöglichen, beliebigen Code im Kontext des RPC-Dienstes auszuführen, je nach Dienstkonfiguration möglicherweise mit erhöhten Berechtigungen.

AUSNUTZBARKEIT:

• Betrifft Windows-Systeme, auf denen Active Directory-Dienste ausgeführt werden.
• Erfordert authentifizierten Zugriff mit geringen Berechtigungen innerhalb derselben Domäne (angrenzendes Netzwerk).
• Die Ausnutzung ist aufgrund der geringen Komplexität unkompliziert.

AUSWIRKUNGEN AUF DAS GESCHÄFT:

Diese Schwachstelle ist in Unternehmensumgebungen besonders gefährlich, da sie es Angreifern, die bereits einen Fuß in das Netzwerk gesetzt haben, ermöglicht, ihren Angriff rasch zu eskalieren. Eine Kompromittierung der Active Directory-Infrastruktur kann zu einer vollständigen Übernahme der Domäne, unbefugtem Zugriff auf sensible Systeme und weitreichenden Störungen führen. Sie untergräbt das zentrale Vertrauensmodell der Identitätsverwaltung in Unternehmen.

WORKAROUND:

Falls ein Patch nicht sofort verfügbar ist:

• Beschränken Sie den RPC-Zugriff ausschließlich auf vertrauenswürdige Systeme
• Überwachen und prüfen Sie ungewöhnliche RPC-Aktivitäten
• Wenden Sie eine strenge Netzwerksegmentierung innerhalb der Domäne an

DRINGLICHKEIT:

Diese Schwachstelle verbindet geringe Angriffskomplexität mit hohen Auswirkungen, was sie in realen Szenarien besonders gefährlich macht. Sobald ein Angreifer auch nur minimalen Domänenzugriff erlangt hat, kann er diese Schwachstelle schnell ausnutzen, um sich lateral zu bewegen und Code auf kritischen Servern auszuführen. Active Directory ist ein hochkarätiges Ziel, und eine Verzögerung der Patches erhöht das Risiko einer weitreichenden Kompromittierung.

CVE-2026-33824 – Sicherheitslücke bei der Remote-Codeausführung in den Windows Internet Key Exchange (IKE)-Dienst-Erweiterungen

„Das ist genau die Art von Schwachstelle, auf die Angreifer warten – still, aus der Ferne und verheerend.“

Diese kritische Sicherheitslücke betrifft den Windows Internet Key Exchange (IKE)-Dienst, insbesondere IKEv2, wo eine unsachgemäße Speicherverwaltung eine Double-Free-Situation ermöglicht. Ein Angreifer kann diese Schwachstelle aus der Ferne ausnutzen, indem er speziell gestaltete Netzwerkpakete sendet, was zur vollständigen Remote-Codeausführung führt. Da keine Authentifizierung oder Benutzerinteraktion erforderlich ist, stellt dieses Problem ein ernstes Risiko für exponierte Systeme dar, insbesondere für solche, die VPN- oder IPsec-Dienste nutzen.

CVSS-Score: 9,8
SCHWERWIEGUNG: Kritisch
BEDROHUNG: Remote-Codeausführung

EXPLOITS:

Es wurden keine öffentlichen Exploits oder Proof-of-Concept-Code (PoC) beobachtet. Die Schwachstelle wurde nicht öffentlich bekannt gegeben und wird derzeit als wenig wahrscheinlich einzunutzen eingestuft, obwohl ihre Eigenschaften sie für Angreifer äußerst attraktiv machen.

TECHNISCHE ZUSAMMENFASSUNG:

Die Schwachstelle wird durch eine Double-Free-Bedingung (CWE-415) in den Windows-IKE-Dienst-Erweiterungen verursacht. Diese tritt auf, wenn das System die Speicherfreigabe während der Verarbeitung von IKEv2-Paketen fehlerhaft handhabt. Ein Angreifer kann speziell gestaltete Pakete senden, um das Double-Free auszulösen, was zu einer Speicherbeschädigung führt. Diese Beschädigung kann ausgenutzt werden, um beliebigen Code im Kontext des Systems auszuführen, wodurch potenziell die vollständige Kontrolle über den betroffenen Rechner erlangt wird. Da der Angriff über das Netzwerk erfolgt und keine Authentifizierung erfordert, vergrößert er die Angriffsfläche erheblich.

AUSNUTZBARKEIT:

• Betrifft Windows-Systeme, auf denen IKEv2 aktiviert ist.
• Die Ausnutzung erfolgt remote über speziell gestaltete UDP-Pakete, die an die Ports 500 und 4500 gesendet werden.

AUSWIRKUNGEN AUF DAS UNTERNEHMEN:

Diese Schwachstelle stellt eine ernsthafte Bedrohung für Unternehmensumgebungen dar, insbesondere für solche, die für die sichere Kommunikation auf VPN oder IPsec angewiesen sind. Eine erfolgreiche Ausnutzung kann zu einer vollständigen Kompromittierung des Systems führen, wodurch Angreifer sensible Daten stehlen, den Betrieb stören oder sich lateral im Netzwerk bewegen können. Da keine Benutzerinteraktion erforderlich ist, ist dies besonders gefährlich für Systeme mit Internetanbindung.

WORKAROUND:

• Blockieren Sie eingehenden Datenverkehr auf den UDP-Ports 500 und 4500, wenn IKE nicht benötigt wird.
• Wenn IKE erforderlich ist, beschränken Sie den Zugriff auf diese Ports ausschließlich auf vertrauenswürdige IP-Adressen.

DRINGLICHKEIT:

Diese Schwachstelle setzt Systeme einer nicht authentifizierten Remote-Codeausführung aus, ohne dass eine Benutzerinteraktion erforderlich ist. Die geringe Komplexität des Angriffs und die Auswirkungen auf das gesamte System machen sie zu einem idealen Kandidaten für eine schnelle Ausnutzung. Systeme mit Internetverbindung, auf denen IKEv2-Dienste laufen, sind besonders gefährdet, und eine Verzögerung der Patch-Bereitstellung erhöht das Risiko potenzieller großflächiger Angriffe.

CVE-2026-33115 – Schwachstelle in Microsoft Word zur Remote-Codeausführung

„Eine einfache Dokumentvorschau kann unbemerkt eine vollständige Kompromittierung des Systems auslösen – dieser Fehler verwandelt alltägliche Dateien in versteckte Angriffswaffen.“

Diese Sicherheitslücke in Microsoft Word wird durch einen Use-after-free-Speicherfehler verursacht, der es einem Angreifer ermöglicht, beliebigen Code auf einem lokalen System auszuführen. Obwohl sie als lokaler Angriffsvektor eingestuft ist, kann sie durch bösartige Dokumente ausgelöst werden, unter anderem über den Vorschaubereich, was sie in realen Szenarien, in denen Benutzer mit nicht vertrauenswürdigen Dateien interagieren, äußerst gefährlich macht.

CVSS-Score: 8,4
SCHWERWIEGUNG: Kritisch
BEDROHUNG: Remote-Codeausführung über eine „Use-after-free“-Speicherbeschädigung in Microsoft Word

EXPLOITS:

Derzeit sind keine öffentlichen Exploits oder Proof-of-Concept-Codes bekannt, und die Sicherheitslücke wurde vor der Veröffentlichung nicht öffentlich bekannt gegeben. Eine Ausnutzung wird zum jetzigen Zeitpunkt als unwahrscheinlich angesehen.

TECHNISCHE ZUSAMMENFASSUNG:

Die Sicherheitslücke ist auf eine fehlerhafte Speicherverwaltung in Microsoft Word zurückzuführen, insbesondere auf eine „Use-after-free“-Situation. Diese tritt auf, wenn Speicher freigegeben wird, aber von der Anwendung weiterhin referenziert wird. Ein Angreifer kann ein bösartiges Word-Dokument erstellen, das die Muster der Speicherzuweisung und -freigabe manipuliert. Wenn das Dokument geöffnet – oder sogar in der Vorschau angezeigt – wird, greift die Anwendung möglicherweise auf freigegebenen Speicher zu, was zu einer Speicherbeschädigung führt. Dies kann es dem Angreifer ermöglichen, beliebigen Code im Kontext des Benutzers auszuführen, der Word ausführt.

AUSNUTZBARKEIT:

• Betrifft Microsoft Word und zugehörige Office-Komponenten.
• Keine Authentifizierung erforderlich. Die Ausnutzung kann durch das Öffnen oder Anzeigen einer Vorschau eines bösartigen Dokuments erfolgen.

AUSWIRKUNGEN AUF DAS UNTERNEHMEN:

Diese Sicherheitslücke stellt ein erhebliches Risiko dar, da sie gängiges Benutzerverhalten ausnutzt – das Öffnen oder Anzeigen einer Vorschau von Dokumenten. Angreifer können Phishing- oder Dateifreigabetechniken nutzen, um bösartige Dateien zu verbreiten, was zur Kompromittierung von Endgeräten führt. Nach der Ausnutzung können Angreifer Malware installieren, sensible Daten stehlen oder sich lateral innerhalb der Organisation bewegen. Der Vektor „Vorschau-Fenster“ erhöht das Risiko, da er die Notwendigkeit einer expliziten Benutzeraktion verringert.

WORKAROUND:

Wenn ein Patch nicht sofort verfügbar ist:

• Deaktivieren Sie das Vorschau-Fenster im Windows Explorer
• Vermeiden Sie das Öffnen nicht vertrauenswürdiger oder unaufgefordert zugesandter Dokumente
• Nutzen Sie die Funktionen „Geschützte Ansicht“ und Anwendungs-Sandboxing

DRINGLICHKEIT:

Dies ist eine kritische Sicherheitslücke, die eine weit verbreitete Anwendung betrifft, mit dem zusätzlichen Risiko einer Ausnutzung über den Vorschaubereich. Die Möglichkeit, die Codeausführung mit minimaler oder gar keiner Benutzerinteraktion auszulösen, erhöht das Risiko erheblich, insbesondere in Phishing-Szenarien. Unternehmen sollten der Installation von Patches auf Endgeräten Priorität einräumen, um das Risiko einer weitreichenden Kompromittierung zu verringern.

CVE-2026-33114 – Sicherheitslücke in Microsoft Word zur Ausführung von Remote-Code

„Ein einziger nicht vertrauenswürdiger Zeiger kann ein harmloses Dokument in eine vollständige Systemübernahme verwandeln – diese Schwachstelle ermöglicht es Angreifern, alltägliche Dateien als Waffe einzusetzen.“

Diese Sicherheitslücke in Microsoft Word wird durch eine Dereferenzierung eines nicht vertrauenswürdigen Zeigers verursacht, wodurch ein Angreifer beliebigen Code auf einem lokalen System ausführen kann. Obwohl sie als lokaler Angriff eingestuft wird, kann sie durch bösartige Dokumente ausgelöst werden, unter anderem über den Vorschaubereich, was sie zu einer ernsthaften Bedrohung in gängigen Benutzer-Workflows im Zusammenhang mit der Dokumentenverarbeitung macht.

CVSS-Score: 8,4
SCHWERWIEGUNG: Kritisch
BEDROHUNG: Remote-Codeausführung durch Dereferenzierung eines nicht vertrauenswürdigen Zeigers in Microsoft Word

EXPLOITS:

Derzeit sind keine öffentlichen Exploits oder Proof-of-Concept-Codes bekannt, und die Sicherheitslücke wurde vor der Veröffentlichung nicht öffentlich bekannt gegeben. Eine Ausnutzung wird zum jetzigen Zeitpunkt als unwahrscheinlich angesehen.

TECHNISCHE ZUSAMMENFASSUNG:

Die Sicherheitslücke entsteht durch unsachgemäße Handhabung von Zeigern in Microsoft Word. Konkret kann die Anwendung einen Zeiger dereferenzieren, der auf nicht vertrauenswürdigen oder ungültigen Speicher verweist. Ein Angreifer kann ein bösartiges Dokument erstellen, das Zeigerreferenzen während der Verarbeitung manipuliert. Wenn das Dokument geöffnet oder in der Vorschau angezeigt wird, versucht Word möglicherweise, auf Speicherorte zuzugreifen, die vom Angreifer kontrolliert oder beeinflusst werden, was zu einer Speicherbeschädigung führt. Dies kann letztendlich die Ausführung von beliebigem Code im Kontext des Benutzers ermöglichen.

AUSNUTZBARKEIT:

• Betrifft Microsoft Word und zugehörige Office-Komponenten.
• Keine Authentifizierung erforderlich. Die Ausnutzung kann durch das Öffnen oder Anzeigen einer Vorschau eines speziell gestalteten Dokuments erfolgen.

AUSWIRKUNGEN AUF DAS UNTERNEHMEN:

Diese Sicherheitslücke ist gefährlich, da sie normales Benutzerverhalten ausnutzt – die Interaktion mit Dokumenten. Angreifer können schädliche Dateien über Phishing oder gemeinsam genutzte Laufwerke verbreiten, was zur Kompromittierung von Endgeräten führt. Der Vektor „Vorschau-Fenster“ erhöht das Risiko, da er die Notwendigkeit einer Benutzerinteraktion verringert. Eine erfolgreiche Ausnutzung kann zu Datendiebstahl, der Verbreitung von Malware und lateraler Bewegung innerhalb des Unternehmens führen.

WORKAROUND:

Wenn ein Patch nicht sofort installiert werden kann:

• Deaktivieren Sie den Vorschaubereich im Windows Explorer
• Vermeiden Sie das Öffnen von Dateien aus nicht vertrauenswürdigen Quellen
• Verwenden Sie die geschützte Ansicht und Endpunkt-Schutzmaßnahmen

DRINGLICHKEIT:

Diese Sicherheitslücke betrifft eine weit verbreitete Produktivitätsanwendung und kann mit minimaler Benutzerinteraktion ausgelöst werden, unter anderem über den Vorschaubereich.

Die Kombination aus hoher Auswirkung und einfacher Ausnutzung durch Phishing-Kampagnen erhöht die Wahrscheinlichkeit einer Ausnutzung in realen Szenarien, wodurch eine zeitnahe Patching-Maßnahme von entscheidender Bedeutung ist.

CVE-2026-32190 – Sicherheitslücke in Microsoft Office zur Ausführung von Remote-Code

„Diese Schwachstelle verwandelt alltägliche Dokumente in stille Waffen – und löst eine vollständige Kompromittierung des Systems ohne einen einzigen Klick aus.“

Diese kritische Sicherheitslücke in Microsoft Office wird durch einen Use-after-free-Speicherfehler verursacht, der es einem Angreifer ermöglicht, beliebigen Code auf einem lokalen System auszuführen. Obwohl eine lokale Ausführung erforderlich ist, bleibt das Risiko aufgrund von Angriffsvektoren wie dem Vorschaufenster, das schädliche Inhalte automatisch verarbeiten kann, hoch. Eine erfolgreiche Ausnutzung kann Angreifern die vollständige Kontrolle über betroffene Systeme verschaffen, was dies zu einer ernsthaften Bedrohung in Umgebungen macht, in denen häufig mit Office-Dateien gearbeitet wird.

CVSS-Score: 8,4
SCHWERWIEGUNG: Kritisch
BEDROHUNG: Remote-Code-Ausführung

EXPLOITS:

Es wurden keine öffentlichen Exploits oder Proof-of-Concept-Code (PoC) identifiziert. Die Schwachstelle wurde noch nicht öffentlich bekannt gegeben und wird derzeit als weniger wahrscheinlich ausnutzbar eingestuft, obwohl ähnliche Schwachstellen in der Vergangenheit schnell als Angriffswaffen genutzt wurden.

TECHNISCHE ZUSAMMENFASSUNG:

Diese Sicherheitslücke wird als „Use-after-free“-Problem (CWE-416) klassifiziert, bei dem Microsoft Office den Speicher nach dessen Freigabe nicht ordnungsgemäß verwaltet. Wenn eine speziell gestaltete Datei verarbeitet wird, greift die Anwendung möglicherweise weiterhin auf bereits freigegebenen Speicher zu. Ein Angreifer kann diesen Zustand ausnutzen, um den Speicher zu beschädigen und beliebigen Code auszuführen. Insbesondere kann das Vorschaufenster als Angriffsvektor dienen, was bedeutet, dass die Schwachstelle ausgelöst werden kann, ohne die Datei explizit zu öffnen, was das Risiko einer versehentlichen Offenlegung erhöht.

AUSNUTZBARKEIT:

• Betrifft unterstützte Versionen von Microsoft Office vor der gepatchten Version.
• Die Ausnutzung erfolgt, wenn eine schädliche Datei lokal geöffnet oder in der Vorschau angezeigt wird, einschließlich über das Vorschaufenster.

AUSWIRKUNGEN AUF DAS GESCHÄFT:

Diese Sicherheitslücke stellt eine erhebliche Bedrohung für Unternehmen dar, die für ihren täglichen Betrieb auf Microsoft Office angewiesen sind. Angreifer können bösartige Dokumente nutzen, um die vollständige Kontrolle über Benutzersysteme zu erlangen, was zu Datendiebstahl, dem Einsatz von Ransomware oder lateraler Bewegung innerhalb des Netzwerks führen kann. Der Angriffsvektor über das Vorschaufenster erhöht die Wahrscheinlichkeit einer versehentlichen Kompromittierung, selbst bei vorsichtigen Benutzern.

WORKAROUND:

• Deaktivieren Sie das Vorschaufenster in E-Mail-Clients und Datei-Explorern, wo dies möglich ist.
• Vermeiden Sie das Öffnen oder Anzeigen von Dateien aus nicht vertrauenswürdigen oder unbekannten Quellen.

DRINGLICHKEIT:

Diese Schwachstelle ermöglicht in bestimmten Szenarien, wie z. B. beim Rendern im Vorschaufenster, die Ausführung von Code mit erheblichen Auswirkungen, ohne dass eine Benutzerinteraktion erforderlich ist. Da sie typische Vorsichtsmaßnahmen von Benutzern umgehen kann, ist sie besonders gefährlich bei Phishing-Kampagnen und gezielten Angriffen. Die rasche Bereitstellung von Patches ist entscheidend, um eine Ausnutzung über gängige Dokumenten-Workflows zu verhindern.

CVE-2026-32157 – Sicherheitslücke zur Remote-Codeausführung im Remote-Desktop-Client

„Eine Verbindung zum falschen Server kann schon ausreichen – diese Schwachstelle ermöglicht es Angreifern, eine vertrauenswürdige Remote-Sitzung in eine vollständige Systemübernahme zu verwandeln.“

Diese kritische Schwachstelle im Remote-Desktop-Client wird durch ein „Use-after-free“-Speicherproblem verursacht, das ausgenutzt werden kann, wenn ein Benutzer eine Verbindung zu einem bösartigen oder kompromittierten Remote-Desktop-Server herstellt. Die Schwachstelle ermöglicht es einem Angreifer, über das Netzwerk beliebigen Code auf dem Client-Rechner auszuführen. Obwohl eine Benutzerinteraktion erforderlich ist, nutzt der Angriff vertrauenswürdige Workflows, was ihn in realen Szenarien äußerst effektiv macht.

CVSS-Score: 8,8
SCHWERWIEGUNG: Kritisch
BEDROHUNG : Remote-Codeausführung

EXPLOITS:

Es wurden keine öffentlichen Exploits oder Proof-of-Concept-Code (PoC) gemeldet. Die Schwachstelle ist nicht öffentlich bekannt und wird derzeit als wenig wahrscheinlich einzunutzen eingestuft, obwohl sie ein hohes Potenzial für gezielte Angriffe bietet.

TECHNISCHE ZUSAMMENFASSUNG:

Diese Schwachstelle resultiert aus einer „Use-after-free“-Situation (CWE-416) im Remote-Desktop-Client.

Sicherheitsupdates vom Patch Tuesday im April 2026

Nachfolgend finden Sie die vollständige Liste der behobenen Sicherheitslücken in den Updates vom Patch Tuesday im April 2026.

Der Beitrag 2026-04 Patchday erschien zuerst auf Grams IT - Blog.

Der März-Patchday 2026 präsentiert sich auf den ersten Blick etwas ruhiger als der turbulente Vormonat, doch der Schein trügt. Während Microsoft dieses Mal keine aktiv ausgenutzten Sicherheitslücken meldet, stehen IT-Administratoren dennoch vor einer Mammutaufgabe: 79 behobene Schwachstellen, darunter zwei öffentlich bekannte Zero-Day-Lücken und kritische Fehler in der Office-Suite, verlangen nach sofortiger Aufmerksamkeit.

Besonders die Kombination aus KI-Integrationen wie Microsoft Copilot und klassischen Office-Anwendungen rückt in den Fokus der Angreifer. Ein proaktives Schwachstellen-Management ist auch in diesem Monat kein optionaler Luxus, sondern die Basis für die Betriebssicherheit Ihres Unternehmens. In diesem Artikel analysieren wir die wichtigsten Updates und zeigen Ihnen, wo die größten Gefahren lauern.

Die nackten Zahlen: Eine Übersicht des März-Updates

Microsoft hat im März 2026 insgesamt 79 Sicherheitslücken geschlossen. Damit liegt die Anzahl über dem Vormonat (58), bleibt aber leicht unter dem Jahresdurchschnitt.

Verteilung nach Schweregrad

• Kritisch (Critical): 3
• Wichtig (Important): 72
• Moderat (Moderate): 4

Die Verteilung der Kategorien zeigt einen deutlichen Schwerpunkt auf der Ausweitung von Berechtigungen (46 Fälle), gefolgt von Remote-Code-Execution (18 Fälle) und der Offenlegung von Informationen (10 Fälle). Betroffen sind neben Windows 11 und Windows Server auch SQL Server, .NET und intensiv die Microsoft Office-Produkte.

Brennpunkt: Die 2 öffentlich bekannten Zero-Day-Lücken

Auch wenn laut Microsoft derzeit keine aktive Ausnutzung in freier Wildbahn („in the wild“) beobachtet wurde, stellt die öffentliche Bekanntheit dieser Lücken ein erhöhtes Risiko dar. Sobald Details bekannt sind, ist die Entwicklung von Exploits meist nur eine Frage von Stunden.

CVE-2026-21262 – SQL Server Elevation of Privilege Vulnerability

„Fehlerhafte Zugriffskontrollen in Datenbankstrukturen können einfache Benutzer in Administratoren verwandeln und die Integrität des gesamten Datenschatzes gefährden.“

Diese Schwachstelle betrifft den Microsoft SQL Server und ermöglicht es einem bereits authentifizierten Angreifer, seine Berechtigungen über das Netzwerk auf das Niveau eines SQL-Admins anzuheben. Die Lücke wurde durch eine Veröffentlichung über Berechtigungen in gespeicherten Prozeduren bekannt.

CVSS-Score: 7.8 SCHWERWIEGENDHEIT: Wichtig BEDROHUNG: Erhöhung von Berechtigungen

EXPLOITS: Die Details zur Schwachstelle wurden öffentlich dokumentiert. Es gibt jedoch noch keine Berichte über massenhafte Ausnutzung durch Cyberkriminelle.

TECHNISCHE ZUSAMMENFASSUNG: Die Sicherheitslücke resultiert aus einer unzureichenden Prüfung der Zugriffsberechtigungen innerhalb des SQL Servers. Ein Angreifer mit minimalen Rechten kann diese Logikfehler ausnutzen, um administrative Rollen zu übernehmen. Da SQL Server oft das Herzstück der Unternehmensdaten bilden, ist das Schadenspotenzial enorm.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Eine Kompromittierung des SQL-Admins bedeutet den vollen Zugriff auf alle gespeicherten Daten, die Möglichkeit zur Datenmanipulation oder zum Diebstahl sensibler Kundendaten. Dies kann zu massiven Compliance-Verstößen und Betriebsunterbrechungen führen.

CVE-2026-26127 – .NET Denial of Service Vulnerability

„Ein einziger präparierter Lesezugriff kann .NET-Anwendungen in die Knie zwingen und kritische Dienste weltweit zum Stillstand bringen.“

Eine öffentlich bekannte Schwachstelle in .NET ermöglicht es Angreifern, einen Denial-of-Service-Zustand (DoS) herbeizuführen. Durch einen „Out-of-bounds read“ kann die Anwendung zum Absturz gebracht werden.

CVSS-Score: 7.5 SCHWERWIEGENDHEIT: Wichtig BEDROHUNG: Denial of Service

TECHNISCHE ZUSAMMENFASSUNG: Ein Angreifer kann über das Netzwerk speziell geformte Daten an eine .NET-Anwendung senden. Da die Anwendung versucht, außerhalb des zugewiesenen Speicherbereichs zu lesen, kommt es zum Programmabbruch. Da viele Webdienste auf .NET basieren, ist die Reichweite dieser Lücke groß.

Fokus: Office & Copilot – Die neuen Angriffsvektoren

In diesem Monat sollten Administratoren ein besonderes Augenmerk auf Microsoft Office legen. Hier wurden kritische Lücken geschlossen, die besonders heimtückisch sind.

CVE-2026-26144 – Microsoft Excel Information Disclosure Vulnerability

„Wenn die KI zum unfreiwilligen Spion wird: Eine Lücke in Excel erlaubt es dem Copilot, sensible Daten ohne Wissen des Nutzers nach außen zu tragen.“

Diese als kritisch eingestufte Schwachstelle ermöglicht die Offenlegung von Informationen. Das Besondere: Angreifer können den „Copilot Agent Mode“ dazu bringen, Daten über das Netzwerk zu exfiltrieren, ohne dass der Benutzer interagieren muss (Zero-Click).

CVSS-Score: 7.5 SCHWERWIEGENDHEIT: Kritisch BEDROHUNG: Offenlegung von Informationen

DRINGLICHKEIT: Aufgrund des „Zero-Click“-Potenzials und der Integration moderner KI-Funktionen ist dieses Update für alle Unternehmen, die Microsoft 365 nutzen, von höchster Priorität.

CVE-2026-26110 & CVE-2026-26113 – Microsoft Office RCE

Diese beiden Lücken ermöglichen die Ausführung von beliebigem Code (Remote Code Execution). Besonders gefährlich: Die Ausnutzung kann bereits über die Vorschau-Funktion (Preview Pane) in Outlook oder dem Explorer erfolgen. Ein einfaches Betrachten einer Datei reicht somit aus, um das System zu infizieren.

Die Sicherheitsupdates vom Patch Tuesday März 2026

Der Beitrag 2026-03 Patchday erschien zuerst auf Grams IT - Blog.

Sicherheitsexperten blicken in diesem Monat mit Sorge auf die Veröffentlichungen von Microsoft. Der aktuelle Patchday im Februar 2026 ist kein gewöhnlicher Wartungstermin. Mit insgesamt 58 behobenen Schwachstellen, darunter sechs aktiv ausgenutzte Zero-Day-Lücken, steht die IT-Welt unter Zugzwang.

In einer Zeit, in der Ransomware-Gruppen und staatlich akteurierte Hacker schneller denn je auf neue Sicherheitslücken reagieren, ist ein proaktives Schwachstellen-Management überlebenswichtig für Unternehmen jeder Größe. Dieser Artikel bietet Ihnen eine tiefgreifende Analyse der Bedrohungslage, stellt die gefährlichsten Schwachstellen vor und gibt Ihnen einen klaren Schlachtplan für die Bereitstellung der Sicherheitsupdates an die Hand. Wenn Sie wissen wollen, wie Sie Ihre Windows-Umgebung im Februar 2026 absichern, sind Sie hier genau richtig.

Die nackten Zahlen: Eine Übersicht des Februar-Updates

Bevor wir in die technischen Details der Zero-Day-Lücke eintauchen, werfen wir einen Blick auf die Statistik des aktuellen Patch-Zyklus. Microsoft hat im Februar 2026 insgesamt 58 Sicherheitslücken geschlossen.

Verteilung nach Schweregrad

• Kritisch (Critical): 7
• Wichtig (Important): 50
• Moderat (Moderate): 1

Die betroffenen Produkte umfassen das gesamte Microsoft-Ökosystem, von Windows 11 und Windows Server 2025 bis hin zu Microsoft Office, Azure und dem Edge-Browser. Besonders auffällig ist die hohe Anzahl an Lücken, die eine Remote-Code-Execution (RCE) ermöglichen – also das Ausführen von Schadcode aus der Ferne.

Brennpunkt: Die 6 aktiv ausgenutzten Zero-Day-Lücken

Das größte Risiko für Ihre Cyber-Sicherheit geht von Schwachstellen aus, für die bereits Exploits im Umlauf sind. Im Februar 2026 hat Microsoft sechs solcher Lücken identifiziert und gepatcht.

CVE-2026-23655 – Microsoft ACI Confidential Containers Information Disclosure Vulnerability

„Ein einziger Fehler bei der Speicherung von Geheimnissen kann Schlüssel offenlegen, die ganze Cloud-Umgebungen freischalten.“

CVE-2026-23655 ist eine kritische Sicherheitslücke, die Microsoft Azure Container Instances (ACI) Confidential Containers betrifft. Das Problem entsteht durch die Speicherung sensibler Daten im Klartext, wodurch ein autorisierter Angreifer über das Netzwerk auf geheime Tokens und kryptografische Schlüssel zugreifen kann. Obwohl keine aktive Ausnutzung beobachtet wurde, macht die Art der offengelegten Daten diese Sicherheitslücke in Cloud- und Unternehmensumgebungen hochsensibel.

CVSS-Score: 6,5
SCHWERWIEGENDHEIT: Kritisch
BEDROHUNG: Offenlegung von Informationen

EXPLOITS: Zum Zeitpunkt der Veröffentlichung sind keine öffentlich bekannt gewordenen Exploits oder Angriffe in freier Wildbahn bekannt. Microsoft stuft die Ausnutzung als unwahrscheinlich ein, und es wurde kein Proof-of-Concept-Code veröffentlicht.

TECHNISCHE ZUSAMMENFASSUNG: Die Schwachstelle wird durch die unsachgemäße Behandlung sensibler Informationen innerhalb der Azure Compute-Infrastruktur verursacht, die ACI Confidential Containers unterstützt. Bestimmte Geheimnisse, darunter Tokens und Schlüssel, werden möglicherweise im Klartext gespeichert, anstatt sicher geschützt zu werden. Ein Angreifer mit geringen Berechtigungen und autorisiertem Zugriff könnte diese Daten über das Netzwerk abrufen, was zu einer unbeabsichtigten Offenlegung vertraulicher Informationen führen würde.

AUSNUTZBARKEIT: Dieses Problem betrifft Azure-Umgebungen, die ACI Confidential Containers verwenden. Die Ausnutzung erfordert geringe Berechtigungen, aber keine Benutzerinteraktion. Ein Angreifer, der bereits über autorisierten Zugriff verfügt, könnte die Schwachstelle aus der Ferne ausnutzen, um an sensible Geheimnisse zu gelangen.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Die Offenlegung geheimer Tokens und kryptografischer Schlüssel kann schwerwiegende Folgen für Unternehmen haben, die sensible Workloads in Azure ausführen. Kompromittierte Geheimnisse können seitliche Bewegungen, unbefugten Zugriff auf Cloud-Ressourcen, Datenoffenlegung oder Dienstmissbrauch ermöglichen. In regulierten oder vertrauensintensiven Umgebungen kann dies zu Compliance-Verstößen, Reputationsschäden und dem Verlust des Kundenvertrauens führen.

WORKAROUND: Wenn eine sofortige Patch-Installation nicht möglich ist, sollten Unternehmen den Zugriff auf betroffene Containerumgebungen minimieren, Geheimnisse häufig rotieren und Zugriffsberechtigungen überprüfen, um sicherzustellen, dass nur unbedingt notwendige Rollen zugewiesen werden. Die Überwachung auf ungewöhnliche Zugriffe auf Container-Metadaten oder Geheimnistresore kann dazu beitragen, das Risiko zu verringern.

DRINGLICHKEIT: Diese Schwachstelle sollte aufgrund ihrer kritischen Schwere und der hohen Sensibilität der gefährdeten Daten umgehend behoben werden. Selbst ohne aktive Ausnutzung stellt die Offenlegung von Geheimnissen in Cloud-Umgebungen ein Risiko mit hohen Auswirkungen dar, das bei Missbrauch schnell eskalieren kann.

CVE-2026-21522 – Microsoft ACI Confidential Containers Elevation of Privilege Vulnerability

„Eine Befehlsinjektionsschwachstelle in vertraulichen Containern kann vertrauenswürdige Workloads in einen Weg zur vollständigen Kontrolle verwandeln.“

CVE-2026-21522 ist eine kritische Sicherheitslücke zur Erhöhung von Berechtigungen, die vertrauliche Container von Microsoft Azure Container Instances (ACI) betrifft. Die Sicherheitslücke wird durch eine unsachgemäße Neutralisierung spezieller Elemente bei der Befehlsverarbeitung verursacht, wodurch ein autorisierter Angreifer mit hohen Berechtigungen lokal beliebige Befehle einfügen und ausführen kann. Eine erfolgreiche Ausnutzung ermöglicht es Angreifern, Berechtigungen innerhalb der Containerumgebung zu erhöhen und möglicherweise auf geschützte Geheimnisse und sensible Workloads zuzugreifen.

CVSS-Score: 6,7
SCHWERWIEGENDHEIT: Kritisch
BEDROHUNG: Erhöhung von Berechtigungen

EXPLOITS: Zum Zeitpunkt der Veröffentlichung wurden keine öffentlichen Exploits beobachtet. Es existiert jedoch ein Proof-of-Concept-Exploit-Code, der bestätigt, dass die Sicherheitslücke unter den richtigen Bedingungen praktisch ausgenutzt werden kann.

TECHNISCHE ZUSAMMENFASSUNG: Die Schwachstelle entsteht durch unzureichende Eingabereinigung in der Befehlsausführungslogik innerhalb der Azure Compute Gallery-Komponenten, die ACI Confidential Containers unterstützen. Sonderzeichen oder manipulierte Befehlseingaben werden nicht ordnungsgemäß neutralisiert, wodurch eine Befehlsinjektion möglich ist. Ein Angreifer mit autorisiertem Zugriff und hohen Berechtigungen kann diese Schwachstelle ausnutzen, um beliebige Befehle innerhalb des Laufzeitkontexts des Containers auszuführen. In vertraulichen Container-Bereitstellungen untergräbt dies die Isolationsgarantien und kann Geheimnisse oder vertrauenswürdige Ausführungsgrenzen offenlegen.

AUSNUTZBARKEIT: Dieses Problem betrifft Azure-Umgebungen, in denen ACI Confidential Containers ausgeführt werden. Die Ausnutzung erfolgt lokal, erfordert hohe Berechtigungen und keine Benutzerinteraktion. Nach der Ausnutzung können Angreifer Befehle mit denselben Berechtigungen wie der betroffene Container ausführen und so die Kontrolle innerhalb dieser Umgebung effektiv erweitern.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Die Ausweitung von Berechtigungen innerhalb vertraulicher Container stellt ein ernstes Risiko für Unternehmen dar, die Azure für sensible oder regulierte Workloads nutzen.

Angreifer könnten auf geschützte Geheimnisse zugreifen, Workloads manipulieren, die Verfügbarkeit stören oder die mit vertraulichem Computing verbundenen Vertrauensannahmen gefährden. Dies könnte zu Datenoffenlegung, Betriebsstörungen und einem Verlust des Vertrauens in Cloud-Sicherheitskontrollen führen.

WORKAROUND: Wenn der Patch nicht sofort angewendet werden kann, sollten Unternehmen den administrativen Zugriff auf ACI-Umgebungen streng einschränken, die Rollenzuweisungen überprüfen und die Containeraktivität auf unerwartete Befehlsausführungen überwachen. Durch die Reduzierung der Anzahl von Benutzern mit erhöhten Berechtigungen kann das Risiko erheblich gesenkt werden.

DRINGLICHKEIT: Diese Schwachstelle erfordert aufgrund ihrer kritischen Schwere, der bestätigten Proof-of-Concept-Ausnutzbarkeit und ihrer Auswirkungen auf vertrauliche Computing-Umgebungen, in denen Vertrauen und Isolation von entscheidender Bedeutung sind, eine schnelle Behebung.

CVE-2026-21533 – Windows Remote Desktop Services – Schwachstelle zur Erhöhung von Berechtigungen

„Eine Schwachstelle in Remote Desktop verwandelt eingeschränkten Zugriff in vollständige SYSTEM-Kontrolle und gefährdet damit ganze Windows-Hosts.“

CVE-2026-21533 ist eine Schwachstelle mit hoher Schweregradstufe in Windows Remote Desktop Services, die eine Erhöhung von Berechtigungen ermöglicht. Aufgrund einer unsachgemäßen Berechtigungsverwaltung kann ein autorisierter lokaler Angreifer mit geringen Berechtigungen diese Schwachstelle ausnutzen, um seine Zugriffsrechte auf SYSTEM-Ebene zu erhöhen. Microsoft hat bestätigt, dass bereits Exploits entdeckt wurden, sodass diese Schwachstelle keine theoretische Gefahr, sondern eine reale und aktive Bedrohung darstellt.

CVSS-Score: 7,8
SCHWERWIEGENDHEIT: Wichtig
BEDROHUNG: Erhöhung der Berechtigungen

EXPLOITS: Es wurde eine Ausnutzung in freier Wildbahn festgestellt. Es existiert ein funktionsfähiger Exploit-Code, der zeigt, dass Angreifer diese Sicherheitslücke zuverlässig ausnutzen können, um SYSTEM-Berechtigungen auf betroffenen Windows-Systemen zu erlangen.

TECHNISCHE ZUSAMMENFASSUNG: Die Sicherheitslücke wird durch eine unsachgemäße Handhabung der Berechtigungsprüfungen innerhalb der Windows-Remotedesktopdienste verursacht. Wenn bestimmte lokale Vorgänge ausgeführt werden, kann der Dienst die Berechtigungsgrenzen nicht korrekt durchsetzen, sodass ein authentifizierter Benutzer mit geringen Berechtigungen Aktionen ausführen kann, die für höhere Berechtigungsstufen reserviert sind. Dies führt zu einer vollständigen Ausweitung der Berechtigungen auf SYSTEM, wodurch die vollständige Kontrolle über den betroffenen Host gewährt wird.

EXPLOITIERBARKEIT: Diese Sicherheitslücke betrifft unterstützte Windows-Systeme, auf denen Remotedesktopdienste ausgeführt werden. Die Ausnutzung erfolgt lokal, erfordert nur geringe Berechtigungen und keine Benutzerinteraktion. Ein Angreifer mit grundlegenden Zugriffsrechten kann die Schwachstelle ausnutzen, um Berechtigungen auf SYSTEM-Ebene zu erlangen.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Eine erfolgreiche Ausnutzung ermöglicht es Angreifern, Windows-Systeme vollständig zu kompromittieren, persistente Malware zu installieren, Sicherheitstools zu deaktivieren, sensible Daten zu stehlen und tiefer in Unternehmensnetzwerke vorzudringen. Da Remote Desktop in Unternehmens- und Verwaltungsumgebungen häufig aktiviert ist, stellt diese Schwachstelle ein ernstes Risiko für domänengebundene Systeme und kritische Infrastrukturen dar.

WORKAROUND: Wenn eine sofortige Patch-Installation nicht möglich ist, sollten Unternehmen den lokalen Benutzerzugriff einschränken, die Remote-Desktop-Aktivitäten genau überwachen und das Prinzip der geringsten Privilegien anwenden. Durch die Reduzierung der Anzahl der Benutzer mit lokalem Zugriff kann das Risiko bis zur Installation der Updates verringert werden.

DRINGLICHKEIT: Diese Schwachstelle erfordert sofortige Aufmerksamkeit, da eine aktive Ausnutzung bestätigt wurde und ein funktionsfähiger Exploit-Code existiert. Nicht gepatchte Systeme bleiben anfällig für schnelle Privilegieneskalationsangriffe, die zu einer vollständigen Übernahme des Systems führen können.

CVE-2026-21525 – Denial-of-Service-Sicherheitslücke im Windows-Remotenzugriffs-Verbindungsmanager

„Ein einfacher lokaler Auslöser kann wichtige Windows-Netzwerkdienste ohne Vorwarnung offline schalten.“

CVE-2026-21525 ist eine Denial-of-Service-Sicherheitslücke mittlerer Schwere, die den Windows-Remotenzugriffs-Verbindungsmanager betrifft.

Die Schwachstelle wird durch eine Null-Zeiger-Dereferenzierung verursacht, die es einem nicht autorisierten lokalen Angreifer ermöglicht, den betroffenen Dienst zum Absturz zu bringen. Obwohl dabei keine Daten offengelegt werden und keine Codeausführung möglich ist, kann die Netzwerkkonnektivität und -verfügbarkeit auf den betroffenen Systemen gestört werden. Microsoft hat bestätigt, dass eine Ausnutzung festgestellt wurde.

CVSS-Score: 6,2
SCHWERE: Mittel
BEDROHUNG: Denial-of-Service

EXPLOITS: Es gibt keine öffentlich bekannt gegebenen Exploit-Tools oder Proof-of-Concept-Codes. Microsoft hat jedoch bestätigt, dass eine Ausnutzung festgestellt wurde, was darauf hindeutet, dass die Sicherheitslücke trotz fehlender öffentlicher Exploit-Details in realen Szenarien ausgenutzt wurde.

TECHNISCHE ZUSAMMENFASSUNG: Die Sicherheitslücke tritt auf, wenn der Windows-Remotezugriffsverbindungsmanager bestimmte Anfragen verarbeitet und eine Null-Zeiger-Referenz nicht ordnungsgemäß verarbeitet. Dies führt zu einer Ausnahme auf Systemebene, die dazu führt, dass der Dienst unerwartet beendet wird. Ein Angreifer benötigt keine Authentifizierung oder Benutzerinteraktion, um die Bedingung lokal auszulösen, was zu einem Denial-of-Service führt, der den Fernzugriff und die Netzwerkfunktionalität beeinträchtigt.

EXPLOITABILITY: Dieses Problem betrifft unterstützte Windows-Systeme, auf denen der Dienst „Remote Access Connection Manager” aktiviert ist. Die Ausnutzung erfolgt lokal, erfordert keine Berechtigungen und ist nicht auf Benutzerinteraktion angewiesen. Ein Angreifer mit grundlegendem lokalem Zugriff kann die Schwachstelle wiederholt auslösen, um eine anhaltende Dienstunterbrechung zu verursachen.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Denial-of-Service-Bedingungen auf Windows-Systemen können die Remote-Konnektivität, den VPN-Zugriff und abhängige Dienste stören. In Unternehmensumgebungen kann dies zu Betriebsausfällen, Produktivitätsverlusten bei Remote-Mitarbeitern und potenziellen Dienstausfällen führen. Wiederholte Ausnutzung könnte als Ablenkung oder zur Beeinträchtigung der Systemzuverlässigkeit während umfassenderer Angriffsaktivitäten genutzt werden.

WORKAROUND: Wenn der Patch nicht sofort angewendet werden kann, sollten Unternehmen unnötigen lokalen Zugriff auf Systeme einschränken, Dienstabstürze im Zusammenhang mit Fernzugriffskomponenten überwachen und sicherstellen, dass schnelle Verfahren zur Wiederherstellung des Dienstes vorhanden sind, um Ausfallzeiten zu reduzieren.

CVE-2026-21519 – Desktop Window Manager Elevation of Privilege Vulnerability

„Eine Schwachstelle in der Windows-Grafikverarbeitung ermöglicht es Angreifern, grundlegenden Zugriff in vollständige SYSTEM-Kontrolle umzuwandeln.“

CVE-2026-21519 ist eine schwerwiegende Sicherheitslücke im Windows Desktop Window Manager (DWM), die eine Erhöhung der Berechtigungen ermöglicht. Das Problem wird durch einen Typkonfliktfehler verursacht, der es einem autorisierten lokalen Angreifer mit geringen Berechtigungen ermöglicht, eine unsachgemäße Ressourcenverwaltung auszunutzen und seine Zugriffsrechte auf SYSTEM-Ebene zu erhöhen. Microsoft hat bestätigt, dass diese Sicherheitslücke ausgenutzt wurde, sodass sie trotz der Einstufung als „kritisch“ ein hohes Risiko darstellt.

CVSS-Score: 7,8
SCHWERWIEGENDHEIT: Wichtig
BEDROHUNG: Erhöhung von Berechtigungen

EXPLOITS: Die Ausnutzung wurde in realen Angriffen festgestellt. Es wurde kein öffentlicher Proof-of-Concept-Code veröffentlicht, aber die bestätigte Ausnutzung deutet darauf hin, dass Angreifer über zuverlässige Methoden verfügen, um diese Schwachstelle zu missbrauchen.

TECHNISCHE ZUSAMMENFASSUNG: Die Sicherheitslücke entsteht durch Typverwechslungen innerhalb des Desktop Window Managers bei der Verarbeitung bestimmter grafischer Objekte und Speicherstrukturen. Aufgrund falscher Annahmen über Objekttypen kann der DWM mit inkompatiblen Datentypen auf Ressourcen zugreifen. Ein Angreifer kann Aktionen erstellen, die dieses Verhalten manipulieren, was zu einer Beschädigung des Speichers und zur Ausführung von Code mit erhöhten Rechten führt. Eine erfolgreiche Ausnutzung führt zu Zugriff auf SYSTEM-Ebene.

AUSNUTZBARKEIT: Dieses Problem betrifft unterstützte Windows-Versionen, bei denen der Desktop Window Manager aktiviert ist. Die Ausnutzung erfolgt lokal, erfordert geringe Berechtigungen und erfordert keine Benutzerinteraktion. Ein Angreifer mit grundlegendem Zugriff auf das System kann die Schwachstelle auslösen, um die vollständige Kontrolle über den betroffenen Host zu erlangen.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Schwachstellen in Kernkomponenten von Windows, die eine Berechtigungserweiterung ermöglichen, sind besonders gefährlich, da sie eine vollständige Kompromittierung des Systems ermöglichen.

Angreifer können Sicherheitskontrollen deaktivieren, Persistenz herstellen, auf sensible Daten zugreifen und sich lateral in Unternehmensnetzwerken bewegen. Da DWM auf fast allen Windows-Desktops und -Servern mit GUI-Zugriff ausgeführt wird, ist die Angriffsfläche weit verbreitet.

WORKAROUND: Wenn Patches nicht sofort angewendet werden können, sollten Unternehmen den lokalen Zugriff auf Systeme einschränken, Richtlinien für Benutzer mit geringsten Berechtigungen durchsetzen und auf abnormales Verhalten im Zusammenhang mit dem Desktop Window Manager achten. Durch die Reduzierung der lokalen Benutzerrisiken wird die Wahrscheinlichkeit einer Ausnutzung verringert.

DRINGLICHKEIT: Diese Schwachstelle sollte aufgrund der bestätigten Ausnutzung und der Möglichkeit, Berechtigungen auf SYSTEM zu erweitern, schnell behoben werden. Nicht gepatchte Systeme bleiben nach dem ersten Zugriff für eine vollständige Übernahme anfällig.

CVE-2026-21514 – Sicherheitslücke in Microsoft Word

„Ein bösartiges Dokument kann die integrierten Abwehrmechanismen von Word unbemerkt umgehen und die Tür für eine vollständige Kompromittierung des Systems öffnen.“

CVE-2026-21514 ist eine Sicherheitslücke in Microsoft Word, die eine Umgehung von Sicherheitsfunktionen ermöglicht und als schwerwiegend eingestuft wird. Das Problem wird durch die Verwendung nicht vertrauenswürdiger Eingaben bei Sicherheitsentscheidungen verursacht, wodurch Angreifer OLE-Schutzmechanismen umgehen können. Indem sie einen Benutzer dazu verleiten, ein speziell gestaltetes Word-Dokument zu öffnen, können Angreifer Schutzmaßnahmen umgehen, die gefährliche COM- und OLE-Inhalte blockieren sollen. Microsoft hat bestätigt, dass diese Sicherheitslücke öffentlich bekannt gegeben wurde und aktiv ausgenutzt wird.

CVSS-Score: 7,8
SCHWERWIEGENDHEIT: Wichtig
BEDROHUNG: Umgehung von Sicherheitsfunktionen

EXPLOITS: Die Sicherheitslücke wurde öffentlich bekannt gegeben und wird aktiv ausgenutzt. Es gibt einen funktionsfähigen Exploit-Code, der eine zuverlässige Umgehung der OLE-Schutzmaßnahmen von Word durch manipulierte Dokumente demonstriert, die über Social Engineering verbreitet werden.

TECHNISCHE ZUSAMMENFASSUNG: Der Fehler tritt auf, wenn Microsoft Word sich bei Sicherheitsentscheidungen in Bezug auf eingebettete OLE- und COM-Objekte auf nicht vertrauenswürdige Eingaben stützt. Dieses unsachgemäße Vertrauensmodell ermöglicht es bösartigen Dokumentmetadaten oder Objektdaten, Ausführungspfade zu beeinflussen, die eigentlich eingeschränkt sein sollten. Infolgedessen behandelt Word unsichere eingebettete Inhalte möglicherweise fälschlicherweise als vertrauenswürdig und umgeht damit Sicherheitsmaßnahmen, die die Ausnutzung anfälliger Steuerelemente verhindern sollen. Nach der Umgehung können Angreifer Folgeaktionen auslösen, die die Vertraulichkeit, Integrität und Verfügbarkeit gefährden.

AUSNUTZBARKEIT: Diese Sicherheitslücke betrifft unterstützte Versionen von Microsoft Word, einschließlich Microsoft 365 Apps und Microsoft Office-Installationen, bei denen OLE-Schutzmaßnahmen durchgesetzt werden. Die Ausnutzung erfordert keine Berechtigungen, aber eine Benutzerinteraktion – das Opfer muss ein bösartiges Dokument öffnen. Der Vorschaubereich ist kein Angriffsvektor.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Da Microsoft Word weit verbreitet ist und häufig angegriffen wird, stellt diese Sicherheitslücke ein erhebliches Risiko für Unternehmen dar. Eine erfolgreiche Ausnutzung kann zur Ausführung von Malware, zum Diebstahl von Anmeldedaten, zur Datenexfiltration und zu dauerhaftem Zugriff führen. Sicherheitslücken, die die Umgehung von Sicherheitsfunktionen ermöglichen, sind besonders gefährlich, da sie das Vertrauen der Benutzer in die integrierten Schutzmaßnahmen untergraben und die Erfolgsquote von Phishing-Kampagnen erhöhen.

WORKAROUND: Wenn Patches nicht sofort angewendet werden können, sollten Unternehmen die E-Mail-Filterung verstärken, nicht vertrauenswürdige Office-Anhänge blockieren und Richtlinien für den Umgang mit geschützten Dokumenten durchsetzen. Das Bewusstsein der Benutzer und eine geringere Exposition gegenüber externen Dokumenten können dazu beitragen, das Risiko vorübergehend zu senken.

DRINGLICHKEIT: Diese Schwachstelle erfordert eine sofortige Behebung, da eine aktive Ausnutzung bestätigt wurde, sie öffentlich bekannt ist und funktionierende Exploit-Techniken verfügbar sind. Eine verzögerte Patch-Installation erhöht das Risiko von Phishing-basierten Kompromittierungskampagnen erheblich.

CVE-2026-21513 – Sicherheitslücke beim Umgehen von Sicherheitsfunktionen im MSHTML-Framework

„Eine speziell gestaltete Datei kann Windows-Sicherheitsabfragen unbemerkt umgehen und mit einem einzigen Klick gefährliche Aktionen auslösen.“

CVE-2026-21513 ist eine Sicherheitslücke mit hoher Schweregradstufe im Microsoft MSHTML Framework, einer Kernkomponente, die von Windows und mehreren Anwendungen zum Rendern von HTML-Inhalten verwendet wird. Die Sicherheitslücke wird durch einen Fehler im Schutzmechanismus verursacht, der es Angreifern ermöglicht, Ausführungsaufforderungen zu umgehen, wenn Benutzer mit bösartigen Dateien interagieren. Microsoft hat bestätigt, dass dieses Problem öffentlich bekannt gegeben und aktiv ausgenutzt wurde.

CVSS-Score: 8,8
SCHWERWIEGENDHEIT: Wichtig
BEDROHUNG: Umgehung von Sicherheitsfunktionen

EXPLOITS: Diese Sicherheitslücke wurde öffentlich bekannt gegeben und ihre Ausnutzung wurde in realen Angriffen festgestellt. Obwohl kein eigenständiger Proof-of-Concept-Code veröffentlicht wurde, deutet die bestätigte Ausnutzung darauf hin, dass Angreifer diese Schwachstelle in aktiven Kampagnen erfolgreich ausnutzen.

TECHNISCHE ZUSAMMENFASSUNG: Die Sicherheitslücke entsteht durch einen Fehler in der Durchsetzung der Sicherheitsmaßnahmen von MSHTML bei der Verarbeitung speziell gestalteter HTML- oder Verknüpfungsdateien (.lnk). Durch Manipulation der Art und Weise, wie Windows Shell und MSHTML eingebettete Inhalte verarbeiten, können Angreifer die Ausführungswarnungen umgehen, die normalerweise Benutzer schützen. Wenn ein Benutzer die schädliche Datei öffnet oder mit ihr interagiert, verarbeitet und führt das Betriebssystem möglicherweise Inhalte ohne ordnungsgemäße Sicherheitsüberprüfung aus, wodurch die integrierten Schutzmaßnahmen unterlaufen werden.

AUSNUTZBARKEIT: Dieses Problem betrifft unterstützte Windows-Systeme, die auf dem MSHTML-Framework basieren. Die Ausnutzung erfolgt über das Netzwerk und erfordert eine Interaktion des Benutzers, z. B. das Öffnen einer bösartigen HTML-Datei oder das Klicken auf eine Verknüpfung, die per E-Mail, Link oder Download bereitgestellt wird. Der Angreifer benötigt keine Berechtigungen.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Sicherheitslücken, die die Umgehung von Sicherheitsfunktionen ermöglichen, erhöhen die Erfolgsquote von Phishing- und Malware-Kampagnen erheblich. In Unternehmensumgebungen kann diese Schwachstelle zur unbefugten Ausführung von Code, zur Verbreitung von Malware, zum Diebstahl von Anmeldedaten und zur Kompromittierung des Systems führen. Da MSHTML tief in Windows integriert ist, kann die Ausnutzung eine Vielzahl von Systemen und Benutzern betreffen.

WORKAROUND: Wenn Patches nicht sofort angewendet werden können, sollten Unternehmen die Verarbeitung von HTML- und Verknüpfungsdateien aus nicht vertrauenswürdigen Quellen einschränken, die E-Mail- und Webfilterung verstärken und die Benutzer darauf hinweisen, unerwartete Anhänge oder Links nicht zu öffnen. Durch die Reduzierung der Exposition gegenüber externen Inhalten wird das Risiko einer Ausnutzung verringert.

DRINGLICHKEIT: Diese Schwachstelle erfordert eine schnelle Behebung, da eine aktive Ausnutzung bestätigt wurde und sie die zentralen Windows-Sicherheitsabfragen umgehen kann. Eine verzögerte Patch-Installation setzt Benutzer Phishing-Angriffen aus, die direkt zu einer Kompromittierung des Systems führen können.

CVE-2026-21510 – Sicherheitslücke in der Windows-Shell

„Ein einziger Klick auf einen bösartigen Link kann die Windows-Schutzmaßnahmen unbemerkt umgehen und vom Angreifer kontrollierte Inhalte ohne Warnung ausführen.“

CVE-2026-21510 ist eine Sicherheitslücke in Windows Shell, die eine Umgehung von Sicherheitsfunktionen ermöglicht und als schwerwiegend eingestuft wird. Das Problem wird durch einen Fehler im Schutzmechanismus verursacht, der es einem unbefugten Angreifer ermöglicht, Windows SmartScreen und Sicherheitsabfragen zu umgehen. Indem sie einen Benutzer dazu verleiten, einen bösartigen Link oder eine Verknüpfungsdatei zu öffnen, können Angreifer Inhalte ohne die üblichen Warnungen oder Zustimmungsdialoge ausführen. Microsoft hat bestätigt, dass diese Sicherheitslücke öffentlich bekannt gegeben wurde und aktiv ausgenutzt wird.

CVSS-Score: 8,8
SCHWERWIEGENDHEIT: Wichtig
BEDROHUNG: Umgehung von Sicherheitsfunktionen

EXPLOITS: Diese Sicherheitslücke wurde öffentlich bekannt gegeben und es wurde eine Ausnutzung in freier Wildbahn festgestellt. Es gibt funktionierende Exploit-Techniken, die eine zuverlässige Umgehung der Sicherheitsabfragen von Windows Shell und SmartScreen durch manipulierte Links oder Verknüpfungsdateien demonstrieren.

TECHNISCHE ZUSAMMENFASSUNG: Die Sicherheitslücke resultiert aus der unsachgemäßen Behandlung von durch Angreifer kontrollierten Inhalten innerhalb von Windows Shell-Komponenten. Bei der Verarbeitung speziell gestalteter Links oder Verknüpfungsdateien versagt Windows Shell bei der korrekten Durchsetzung von Sicherheitsmaßnahmen, die Benutzer vor der Ausführung potenziell gefährlicher Inhalte warnen sollen. Dieser Ausfall des Schutzmechanismus ermöglicht die Ausführung bösartiger Payloads, ohne dass SmartScreen oder Standard-Sicherheitsabfragen ausgelöst werden, wodurch die Vertrauens- und Ausführungsschutzmaßnahmen von Windows unterlaufen werden.

AUSNUTZBARKEIT: Dieses Problem betrifft unterstützte Windows-Systeme, die für die Datei- und Link-Verarbeitung auf Windows Shell angewiesen sind. Die Ausnutzung erfolgt über das Netzwerk und erfordert eine Benutzerinteraktion, insbesondere das Öffnen eines bösartigen Links oder einer bösartigen Verknüpfungsdatei. Der Angreifer benötigt keine Berechtigungen, was diese Sicherheitslücke für Phishing-basierte Angriffe sehr attraktiv macht.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Die Umgehung der Schutzmaßnahmen von Windows Shell und SmartScreen erhöht die Erfolgsquote von Malware-Angriffen und Phishing-Kampagnen erheblich. Unternehmen können mit der Ausführung von nicht autorisiertem Code, Malware-Infektionen, Diebstahl von Anmeldedaten und lateralen Bewegungen innerhalb von Netzwerken konfrontiert werden. Da Windows Shell eine Kernkomponente ist, die von fast allen Benutzern verwendet wird, ist die Angriffsfläche groß und ohne Patches nur schwer vollständig einzuschränken.

WORKAROUND: Wenn der Patch nicht sofort angewendet werden kann, sollten Unternehmen ihre E-Mail- und Webfilterung verstärken, nicht vertrauenswürdige Verknüpfungsdateien blockieren und die Ausführung von Dateien aus nicht vertrauenswürdigen Quellen einschränken. Schulungen zur Sensibilisierung der Benutzer und restriktive Richtlinien für Anhänge können dazu beitragen, das Risiko zu verringern.

DRINGLICHKEIT: Diese Schwachstelle sollte aufgrund der bestätigten aktiven Ausnutzung und der Verfügbarkeit funktionierender Exploit-Methoden sofort behoben werden. Eine verzögerte Behebung setzt Systeme Phishing-Angriffen aus, die die zentralen Windows-Sicherheitsmaßnahmen umgehen.

Die Sicherheitsupdates vom Patch Tuesday im Februar 2026

Nachfolgend finden Sie eine vollständige Liste der behobenen Sicherheitslücken in den Updates vom Patch Tuesday im Februar 2026.

Der Beitrag 2026-02 Patchday erschien zuerst auf Grams IT - Blog.

Die Uhr tickt für veraltete Verschlüsselungsprotokolle in Microsoft-Umgebungen. Mit der Ankündigung der endgültigen Kerberos RC4 Abschaltung im Sommer 2026 setzt Microsoft einen entscheidenden Schritt in Richtung einer sichereren Identitätsinfrastruktur. Für IT-Administratoren und Sicherheitsverantwortliche bedeutet dies jedoch: Handeln Sie jetzt.

Das Kerberos RC4-Protokoll (Rivest Cipher 4) ist ein Relikt aus den 90er Jahren. In einer modernen Bedrohungslandschaft stellt es ein signifikantes Sicherheitsrisiko dar, da es anfällig für diverse Angriffsvektoren ist, die es Angreifern ermöglichen könnten, Identitäten zu kompromittieren und sich seitlich durch Ihr Netzwerk zu bewegen.

In diesem umfassenden Leitfaden analysieren wir die Hintergründe der Abschaltung, basierend auf den neuesten Informationen von Microsoft. Wir führen Sie Schritt für Schritt durch den Prozess der Identifizierung von RC4 in Ihrem Netzwerk, zeigen Ihnen, wie Sie die moderne Alternative AES implementieren und welche Voraussetzungen Sie zwingend erfüllen müssen, um einen Systemausfall im Jahr 2026 zu verhindern. Warten Sie nicht bis zur letzten Minute – die Migration erfordert Zeit, Analyse und Sorgfalt.

Warum die Kerberos RC4 Abschaltung notwendig ist

Die Sicherheitsrisiken von RC4

RC4 ist eine Stromchiffre, die für ihre Einfachheit und Geschwindigkeit bekannt war. Doch kryptografische Forschungen haben über die Jahre massive Schwachstellen aufgedeckt. In der Welt von Kerberos bedeutet die Nutzung von RC4, dass die Tickets (TGTs und Service Tickets), die für die Authentifizierung im Netzwerk genutzt werden, mit einem schwachen Algorithmus verschlüsselt sind.

Angreifer können diese Schwäche durch Methoden wie „Kerberoasting“ ausnutzen. Wenn ein Angreifer ein RC4-verschlüsseltes Ticket abfängt, kann er dieses offline extrem schnell knacken („Brute Force“), um an das Passwort des Dienstkontos oder des Benutzers zu gelangen. Microsoft betont in seiner Ankündigung vom Dezember 2025, dass die Entfernung von RC4 nicht mehr optional, sondern essenziell für die Integrität des Active Directory ist.

Der Zeitplan: Sommer 2026

Laut offiziellen Quellen von Microsoft wird die Unterstützung für RC4 in Kerberos-Authentifizierungen mit den Updates im Sommer 2026 standardmäßig deaktiviert und die Nutzung technisch unterbunden. Das bedeutet, dass Systeme, die bis dahin nicht auf AES umgestellt wurden, keine Authentifizierung mehr durchführen können. Dies betrifft:

• Anmeldungen von Benutzern an Computern.
• Zugriffe auf Dateiserver und Drucker.
• Authentifizierungen von Webservern und Datenbanken.
• Legacy-Applikationen, die fest auf RC4 kodiert sind.

Zwingende Voraussetzungen für die AES-Migration

Bevor Sie technische Maßnahmen ergreifen, müssen Sie sicherstellen, dass Ihre Infrastruktur bereit für den Wechsel von Kerberos RC4 zu AES (Advanced Encryption Standard) ist. AES ist der heutige Goldstandard für Kerberos-Verschlüsselung in Windows.

1. Domain Functional Level (DFL)

Ihre Domänen- und Gesamtstrukturfunktionsebene sollte mindestens auf Windows Server 2008 R2 liegen, idealerweise jedoch auf Windows Server 2016 oder höher. Während AES technisch bereits ab Server 2008 (Vista) unterstützt wird, bieten neuere Funktionsebenen bessere Verwaltungsoptionen und Sicherheitspatches.

2. Client- und Server-Betriebssysteme

Alle beteiligten Geräte müssen AES unterstützen.

• Unterstützt: Windows Vista / Server 2008 und neuer (inklusive Windows 10, 11, Server 2019, 2022, 2025).
• Nicht unterstützt: Windows XP, Server 2003 (Diese Systeme sollten sich ohnehin nicht mehr in einem produktiven Netzwerk befinden).

3. Updates und Patches

Stellen Sie sicher, dass alle Domain Controller (DCs) und Clients vollständig gepatcht sind. Microsoft hat in den letzten Jahren mehrere Updates veröffentlicht, die die Logik der Verschlüsselungsaushandlung verbessert haben.

4. Kennwort-Resets (Kritisch)

Ein häufig übersehener Punkt: Der krbtgt-Account (das Konto, das die Kerberos Tickets signiert) muss AES-Schlüssel besitzen. Wenn Ihre Domäne vor langer Zeit erstellt wurde und das Passwort des krbtgt-Kontos nie geändert wurde, fehlen möglicherweise die AES-Schlüssel im Active Directory.

• Maßnahme: Setzen Sie das Kennwort des krbtgt-Kontos zweimal zurück (um sicherzustellen, dass die Replikation greift und alte Tickets ungültig werden – beachten Sie hierbei die Wartezeit zwischen den Resets).

Anleitung: Prüfung auf Kerberos RC4 Nutzung

Bevor Sie etwas abschalten, müssen Sie wissen, wo es genutzt wird („Audit Phase“). Blindes Abschalten führt fast garantiert zu Ausfällen.

Die wichtigste Informationsquelle ist das Sicherheitsprotokoll (Security Event Log) auf Ihren Domain Controllern.

Nutzung von Event ID 4769

Das Ereignis 4769 („A Kerberos service ticket was requested“) ist Ihr wichtigster Indikator.

So gehen Sie vor:

1. Öffnen Sie die Ereignisanzeige auf einem Domain Controller.
2. Navigieren Sie zu Windows-Protokolle -> Sicherheit.
3. Erstellen Sie eine Benutzerdefinierte Ansicht oder filtern Sie das aktuelle Protokoll.
4. Filtern Sie nach der Event-ID 4769.
5. Suchen Sie im Detailbereich des Events nach dem Feld Ticket Encryption Type (Ticket-Verschlüsselungstyp).

Die Hex-Codes verstehen:

• 0x17 (oder 23 dezimal): RC4-HMAC (Das ist das Protokoll, das wir eliminieren wollen).
• 0x12 (oder 18 dezimal): AES256-CTS-HMAC-SHA1-96 (Das ist das Ziel).
• 0x11 (oder 17 dezimal): AES128-CTS-HMAC-SHA1-96.

Analyse-Strategie: Wenn Sie Einträge mit 0x17 finden, notieren Sie sich:

• Account Name: Welches Benutzer- oder Computerkonto hat das Ticket angefordert?
• Service Name: Für welchen Dienst wurde das Ticket ausgestellt?
• Client Address: Von welcher IP-Adresse kam die Anfrage?

Hinweis: Ignorieren Sie Tickets, die mit einem Dollarzeichen enden und Computerkonten gehören, wenn diese nur vereinzelt auftreten, fokussieren Sie sich primär auf Dienstkonten (Service Accounts) und Benutzer.

Anleitung: Die Alternative AES einrichten und nutzen

AES (Advanced Encryption Standard) ist der Ersatz für Kerberos RC4. Es ist sicherer, schneller auf moderner Hardware und Standard in aktuellen Windows-Versionen. Die Einrichtung erfolgt primär über das Attribut msDS-SupportedEncryptionTypes im Active Directory.

Schritt 1: Konfiguration der Verschlüsselungstypen pro Objekt

Active Directory muss wissen, dass ein Konto AES unterstützt. Dies wird über ein Bitmask-Attribut gesteuert.

1. Öffnen Sie Active Directory-Benutzer und -Computer (stellen Sie sicher, dass „Erweiterte Features“ im Menü „Ansicht“ aktiviert ist).
2. Öffnen Sie die Eigenschaften eines Benutzers oder Dienstkontos.
3. Wechseln Sie zum Reiter Attribut-Editor.
4. Suchen Sie das Attribut msDS-SupportedEncryptionTypes.

Die Werte: Wenn der Wert 0 oder <nicht gesetzt> ist, verhält sich das System oft so, als wäre RC4 der Standard (abhängig vom Betriebssystem und DFL). Um AES zu erzwingen, müssen Sie die Werte berechnen:

• RC4 = 4
• AES 128 = 8
• AES 256 = 16

Um AES 128 und AES 256 zu unterstützen (empfohlen), addieren Sie 8 + 16 = 24. Tragen Sie den Wert 24 (oder 28, wenn Sie RC4 vorübergehend noch zulassen wollen) in das Attribut ein.

Alternative über die GUI: Im Reiter Konto finden Sie unter „Kontooptionen“ die Checkbox:

• „Dieses Konto unterstützt Kerberos-AES-128-Bit-Verschlüsselung“
• „Dieses Konto unterstützt Kerberos-AES-256-Bit-Verschlüsselung“

Das Setzen dieser Haken aktualisiert automatisch das Attribut msDS-SupportedEncryptionTypes.

Schritt 2: Gruppenrichtlinien (GPO) für die Domäne

Sie müssen sicherstellen, dass Ihre Server und Clients auch bereit sind, AES zu sprechen.

1. Öffnen Sie die Gruppenrichtlinienverwaltung.
2. Bearbeiten Sie die Default Domain Policy (oder eine dedizierte Sicherheitsrichtlinie).
3. Navigieren Sie zu: Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen
4. Suchen Sie die Richtlinie: Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren.
5. Aktivieren Sie diese Richtlinie und wählen Sie:
   • AES256_HMAC_SHA1 (Priorität)
   • AES128_HMAC_SHA1
   • Deaktivieren Sie RC4_HMAC_MD5.

Wichtig: Diese Richtlinie steuert, welche Verschlüsselungstypen der Client dem KDC (Key Distribution Center) anbietet.

Anleitung: Wie Kerberos RC4 abgeschaltet wird

Nachdem Sie auditiert haben und sichergestellt haben, dass alle Konten AES unterstützen (insbesondere Service Accounts!), können Sie an die Abschaltung gehen. Dies sollte schrittweise geschehen.

Phase 1: Soft-Disable über Registry (Testing)

Sie können auf einzelnen Servern testen, wie diese reagieren, wenn RC4 nicht mehr verfügbar ist. Microsoft dokumentiert hierfür Registry-Keys unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.

Erstellen oder ändern Sie den DWORD-Wert SupportedEncryptionTypes. Setzen Sie diesen auf 0x7ffffff8 (dies entfernt RC4, welches Bit 2 ist). Dies zwingt den Client/Server dazu, nur noch AES (oder neuere Verfahren) zu nutzen.

Phase 2: Domänenweite Abschaltung

Die effektivste Methode ist die oben genannte Gruppenrichtlinie (Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren).

Wenn Sie in dieser GPO den Haken bei „RC4_HMAC_MD5“ entfernen und die Richtlinie auf alle Domain Controller und Clients anwenden, wird Kerberos RC4 effektiv in der Domäne deaktiviert.

Phase 3: Active Directory Härtung

Stellen Sie sicher, dass keine Konten mehr existieren, die explizit auf RC4 konfiguriert sind. Prüfen Sie via PowerShell, ob Benutzerkonten das Attribut Use DES encryption types (sehr alt) oder spezifische Legacy-Settings haben.

Ein PowerShell-Snippet zur Suche nach Konten ohne explizite AES-Freigabe (vereinfacht):

Get-ADUser -Filter * -Properties msDS-SupportedEncryptionTypes | Where-Object { $_."msDS-SupportedEncryptionTypes" -eq $null -or $_."msDS-SupportedEncryptionTypes" -band 4 }

Hinweis: Dieser Befehl dient der Analyse und zeigt Konten, die potentiell noch RC4 nutzen oder es nicht explizit ausgeschlossen haben.

Häufige Probleme und Fallstricke

Bei der Migration von Kerberos RC4 auf AES treten erfahrungsgemäß folgende Probleme auf:

1. Legacy Storage-Systeme und Drucker

Ältere NAS-Systeme (Network Attached Storage) oder Multifunktionsdrucker, die „Scan-to-Folder“ nutzen, haben oft veraltete Firmware, die nur RC4 unterstützt.

• Lösung: Firmware-Update durchführen. Wenn dies nicht möglich ist, muss das Gerät isoliert oder ersetzt werden. Es gibt keine sichere Koexistenz nach 2026.

2. Vertrauensstellungen (Forest Trusts)

Wenn Sie Vertrauensstellungen zu anderen Active Directory Forests haben, müssen diese ebenfalls AES unterstützen.

• Prüfung: Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen, Eigenschaften des Trusts -> Reiter „Sicherheit“. Stellen Sie sicher, dass „Der andere Domänen unterstützt Kerberos AES-Verschlüsselung“ aktiviert ist.

3. Java-Applikationen

Ältere Java-Versionen haben standardmäßig starke Verschlüsselung (wie AES 256) deaktiviert (wegen alter US-Exportbeschränkungen).

• Lösung: Installieren Sie die „Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files“ oder aktualisieren Sie auf eine moderne Java-Version.

Fazit: Agieren statt Reagieren

Die Kerberos RC4 Abschaltung im Jahr 2026 ist kein Vorschlag von Microsoft, sondern ein notwendiger Schnitt, um die Sicherheit der Windows-Welt zu gewährleisten. Wer bis zum Sommer 2026 wartet, riskiert massive Betriebsstörungen.

Die Migration auf AES ist nicht nur eine Compliance-Aufgabe, sondern ein direktes Upgrade Ihrer Sicherheitsarchitektur gegen moderne Angriffe wie Kerberoasting.

Handlungsempfehlung:

1. Beginnen Sie heute mit dem Audit Ihrer Event Logs (Event ID 4769).
2. Identifizieren Sie Legacy-Systeme und planen Sie deren Austausch.
3. Aktivieren Sie AES auf allen Service Accounts.
4. Testen Sie die Deaktivierung von RC4 in Testumgebungen vor dem Stichtag.

Schützen Sie Ihre Identitäten. Die Zeit von RC4 ist abgelaufen.

Haftungsausschluss: Die in diesem Artikel beschriebenen Eingriffe in die Systemkonfiguration erfolgen auf eigene Gefahr. Erstellen Sie vor Änderungen immer Backups und testen Sie Einstellungen in einer isolierten Umgebung. Beachten Sie die offiziellen Dokumentationen von Microsoft.

Der Beitrag Kerberos RC4 Abschaltung 2026: So sichern Sie Ihre Windows-Infrastruktur rechtzeitig ab erschien zuerst auf Grams IT - Blog.

Der Dezember ist traditionell eine Zeit der Jahresendplanung und der Vorbereitung auf die Feiertage. Für IT-Sicherheitsexperten bedeutet er jedoch oft eine der letzten und intensivsten Herausforderungen des Jahres: den Microsoft Patch Tuesday Dezember 2025.

Microsoft hat in diesem Zyklus drei aktiv ausgenutzte Zero-Day-Schwachstellen sowie insgesamt 57 weitere Mängel behoben.

Dies macht den Patchday im Dezember zu einem Pflichttermin für jede Organisation. Wer jetzt zögert, setzt seine gesamte Infrastruktur einem unnötigen und hohen Risiko aus. Wir liefern Ihnen die vollständige Analyse, die notwendigen Details zu den kritischen Schwachstellen und einen klaren, schrittweisen Plan für die sofortige Umsetzung der Sicherheitsupdates Microsoft. Lesen Sie weiter, um Ihre Systeme effektiv zu schützen.

Die wichtigsten Zahlen: 3 Zero-Days und 57 Schwachstellen im Fokus

Der Umfang dieses Monats-Updates ist signifikant und unterstreicht die Notwendigkeit eines robusten Patch-Managements. Die offizielle Zählung des Microsoft Patch Tuesday Dezember 2025 umfasst die Behebung von 60 einzelnen Sicherheitslücken.

Die kritische Bilanz im Detail:

Die reine Anzahl der behobenen Fehler ist besorgniserregend, doch die Präsenz von 3 Zero-Day-Lücken Dezember ist ein direkter Aufruf zum Handeln. Zero-Day-Exploits sind die gefährlichste Kategorie von Schwachstellen, da sie bereits aktiv von Cyberkriminellen ausgenutzt werden, bevor der Hersteller das entsprechende Windows Update Dezember 2025 bereitstellt.

Detailanalyse der Zero-Day-Schwachstellen: Was Sie wissen müssen

Drei Schwachstellen, für die bereits öffentlich Exploits existieren und die aktiv in der Wildnis ausgenutzt werden, stehen im Zentrum dieses Patchday. Obwohl Microsoft die genauen CVE-Nummern und Details erst mit der Veröffentlichung bekannt gibt, können wir basierend auf den üblichen Klassifizierungen die potenziellen Risiken und Angriffsszenarien ableiten.

Sicherheitslücke im Windows Cloud Files Mini Filter Driver CVE-2025-62221

„Wenn Angreifer von einem Konto mit geringen Berechtigungen die vollständige Kontrolle über das System erlangen können, wird jeder kompromittierte Benutzer zu einem Einfallstor für die vollständige Übernahme.“

CVE-2025-62221 ist eine Sicherheitslücke vom Typ „Elevation of Privilege“ (EoP) im Windows Cloud Files Mini Filter Driver, einer Komponente, die von Windows zur Verwaltung von Cloud-synchronisierten Dateien und Platzhalterdateien verwendet wird. Diese Schwachstelle ermöglicht es Angreifern, die bereits über eingeschränkten lokalen Zugriff verfügen, ihre Berechtigungen auf SYSTEM zu erweitern. Microsoft hat eine aktive Ausnutzung bestätigt, was bedeutet, dass Angreifer diese Sicherheitslücke bereits in realen Angriffen nutzen.

CVSS-Score: 7,8

SCHWERWIEGENDHEIT: Wichtig

BEDROHUNG: Rechteausweitung

EXPLOITS: Diese Sicherheitslücke wird aktiv ausgenutzt. Obwohl kein vollständig öffentlicher Proof-of-Concept-Code veröffentlicht wurde, wurde die Ausnutzung von Sicherheitsteams beobachtet und wird als Teil gezielter Intrusion-Ketten verwendet. Sobald Angreifer lokalen Zugriff erhalten – selbst über geringfügige Zugangspunkte –, können sie mithilfe dieser Schwachstelle zuverlässig ihre Rechte ausweiten.

TECHNISCHE ZUSAMMENFASSUNG: Der Windows Cloud Files Mini Filter Driver behandelt bestimmte Dateisystemoperationen im Zusammenhang mit Cloud-gestützten Inhalten nicht ordnungsgemäß. Ein Angreifer kann diese Interaktionen manipulieren, um den Treiber dazu zu bringen, privilegierte Aktionen in seinem Namen auszuführen. Da der Treiber innerhalb des Windows-Kernels mit einem hohen Vertrauensniveau arbeitet, ermöglicht der Missbrauch dieser Schwachstelle Angreifern, Code mit erhöhten Berechtigungen auszuführen, geschützte Systemressourcen zu ändern, Sicherheitskontrollen zu deaktivieren oder dauerhaften Zugriff zu erlangen.

EXPLOITIERBARKEIT: Alle unterstützten Windows-Versionen, die den Cloud Files Mini Filter Driver verwenden, sind betroffen. Die Ausnutzung erfordert, dass der Angreifer Code lokal ausführt, aber sobald dies erreicht ist, kann er das anfällige Verhalten des Treibers auslösen, um die Berechtigungen auf SYSTEM zu erweitern. Dies macht ihn zu einer äußerst wertvollen Komponente in mehrstufigen Angriffsketten.

AUSWIRKUNGEN AUF DAS UNTERNEHMEN: Eine aktive Ausnutzung erhöht das Risiko erheblich. Angreifer können:

• Die vollständige Kontrolle über kompromittierte Systeme übernehmen.
• Erkennungs-Tools und Sicherheitsagenten deaktivieren.
• Lokal gespeicherte sensible Daten oder Anmeldedaten stehlen.
• Sich lateral über Netzwerke bewegen, um weitere Systeme zu kompromittieren.
• Eine hohe Persistenz mit hohen Berechtigungen herstellen, was die Reaktion auf Vorfälle erheblich erschwert.

Da Cloud-synchronisierte Dateifunktionen in Unternehmensumgebungen weit verbreitet sind, sind fast alle Organisationen gefährdet, wenn der Patch nicht schnell installiert wird.

WORKAROUND: Wenn sich die Installation des Patches verzögert:

• Beschränken Sie den lokalen Benutzerzugriff und stellen Sie sicher, dass Richtlinien für geringste Privilegien durchgesetzt werden.
• Beschränken Sie die Ausführung nicht vertrauenswürdiger Software, um zu verhindern, dass Angreifer den für lokale Exploits erforderlichen ersten Zugang erhalten.
• Reduzieren Sie vorübergehend die Abhängigkeit von Cloud-Synchronisierungsfunktionen, sofern dies betrieblich möglich ist.

Diese Maßnahmen verringern das Risiko, beseitigen jedoch nicht die zugrunde liegende Schwachstelle.

DRINGLICHKEIT: Dieser Patch muss schnell bereitgestellt werden, da die Schwachstelle bereits in der Praxis ausgenutzt wird, eine Rechteausweitung auf SYSTEM ermöglicht und leicht mit Phishing, Browser-Exploits, bösartigen Dokumenten oder anderen Low-Level-Einstiegspunkten kombiniert werden kann. Wenn Systeme nicht gepatcht werden, können Angreifer mit minimalen Hindernissen schnell die vollständige Kontrolle über Windows-Geräte erlangen.

PowerShell-Remote-Code-Ausführungs-Schwachstelle CVE-2025-54100

„Selbst eine als wichtig eingestufte RCE kann zu einem kritischen Einstiegspunkt werden, wenn Angreifer sie finden, bevor Verteidiger sie beheben.“

Diese Schwachstelle ermöglicht es Angreifern, aus der Ferne beliebigen Code auf betroffenen Systemen auszuführen, indem sie die Art und Weise ausnutzen, wie die Software bestimmte nicht vertrauenswürdige Eingaben verarbeitet. Obwohl sie als wichtig eingestuft ist, stellt sie aufgrund ihrer Fähigkeit, die Ausführung von Remote-Code zu ermöglichen, eine ernsthafte Bedrohung dar, die die Integrität und Stabilität des Systems gefährden kann, wenn sie nicht behoben wird.

CVSS-Score: 7,8

SCHWERWIEGENDHEIT: Wichtig

BEDROHUNG: Remote Code Execution (RCE)

EXPLOITS: Derzeit sind keine öffentlichen Exploits, Zero-Day-Aktivitäten oder Proof-of-Concept-Codes bekannt. Allerdings werden RCE-Schwachstellen nach ihrer Offenlegung häufig zum Ziel für die Entwicklung von Exploits.

TECHNISCHE ZUSAMMENFASSUNG: CVE-2025-54100 wird durch unzureichende Bereinigung und Validierung extern bereitgestellter Daten verursacht. Wenn eine manipulierte Anfrage verarbeitet wird, kann die anfällige Komponente den Speicher oder den Ausführungsfluss falsch verarbeiten, sodass Angreifer aus der Ferne beliebigen Code ausführen können. Die Codeausführung würde unter den Berechtigungen des betroffenen Dienstes erfolgen und möglicherweise Zugriff zum Ändern von Daten, Stören von Prozessen oder Eskalieren von Angriffen gewähren.

AUSNUTZBARKEIT: Systeme, auf denen betroffene Versionen der Software ausgeführt werden, sind anfällig. Angreifer würden diese Schwachstelle in der Regel ausnutzen, indem sie speziell gestaltete Netzwerkeingaben an den exponierten Dienstendpunkt senden und so ein unbeabsichtigtes Ausführungsverhalten verursachen.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Obwohl das Risiko der Remote-Codeausführung als „wichtig” eingestuft wird, kann es dennoch zu schwerwiegenden geschäftlichen Folgen führen, darunter Dienstausfälle, Datenmanipulation, Systeminstabilität oder die Gefahr einer tieferen Kompromittierung des Netzwerks. Unternehmen können bei Ausnutzung dieser Schwachstelle mit Produktivitätsverlusten, erhöhten Kosten für die Reaktion auf Vorfälle und Reputationsproblemen konfrontiert werden.

WORKAROUND: Wenn Patches nicht sofort angewendet werden können, beschränken Sie den Zugriff auf den betroffenen Dienst, verstärken Sie die Netzwerkgrenzen, reduzieren Sie die Exposition gegenüber nicht vertrauenswürdigen Netzwerken und überwachen Sie die Protokolle auf verdächtige Eingabemuster oder abnormales Verhalten.

DRINGLICHKEIT: Da diese Schwachstelle RCE ermöglicht – auch ohne derzeit öffentliche Exploits – sollte das Patchen Priorität haben. Es ist unerlässlich, Remote-Angreifern die Möglichkeit zur Codeausführung zu verwehren, um die Systemsicherheit aufrechtzuerhalten und das Risiko zu verringern, dass zukünftige Exploits dies zu einem hochriskanten Vektor machen.

Microsoft Office Remote Code Execution Vulnerability CVE-2025-62554

„Ein einziger Remote-Code-Fehler kann ein vertrauenswürdiges System zum Spielfeld eines Angreifers machen, wenn er nicht rechtzeitig gepatcht wird.“

Diese Sicherheitslücke ermöglicht es Angreifern, beliebigen Code auf betroffenen Systemen auszuführen, indem sie eine Schwachstelle in der Verarbeitung bestimmter externer Eingaben durch die Software ausnutzen. Eine erfolgreiche Ausnutzung könnte es einem Angreifer ermöglichen, die vollständige Kontrolle über das System zu übernehmen, Daten zu verändern, Dienste zu stören oder tiefer in das Netzwerk vorzudringen.

CVSS-Score: 8,4

SCHWERWIEGENDHEIT: Kritisch

BEDROHUNG: Remote-Code-Ausführung (RCE)

EXPLOITS: Derzeit sind keine öffentlichen Exploit-Codes, Zero-Day-Aktivitäten oder Proof-of-Concept-Demonstrationen bekannt. Allerdings führen RCE-Schwachstellen mit hoher Schwere häufig kurz nach ihrer Offenlegung zur Entwicklung von Exploits.

TECHNISCHE ZUSAMMENFASSUNG: CVE-2025-62554 entsteht durch eine unsachgemäße Validierung extern bereitgestellter Daten. Wenn eine speziell gestaltete Anfrage verarbeitet wird, behandelt die anfällige Komponente die Eingabe falsch und löst einen unbeabsichtigten Ausführungspfad aus. Dadurch können Angreifer beliebigen Code mit den Berechtigungen des kompromittierten Dienstes ausführen. Wenn dies ausgenutzt wird, kann dies zu Systemmanipulationen, Datenoffenlegung oder vollständigen Betriebsstörungen führen.

AUSNUTZBARKEIT: Alle Systeme, auf denen betroffene Versionen der anfälligen Software ausgeführt werden, sind gefährdet. Angreifer nutzen diese Art von Schwachstelle in der Regel aus, indem sie manipulierte Netzwerkanfragen an die exponierte Dienstschnittstelle senden und das System so zwingen, nicht autorisierten Code auszuführen.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Ein erfolgreicher RCE-Angriff kann zu einer vollständigen Kompromittierung des Systems führen und Unternehmen Datenverstößen, Ransomware-Angriffen, Betriebsausfällen, regulatorischen Risiken und langfristigen Reputationsschäden aussetzen. Diese Art von Schwachstelle bietet Angreifern einen direkten Weg zu hochwertigen Vermögenswerten.

WORKAROUND: Wenn Patches nicht sofort angewendet werden können, sollten Unternehmen den Zugriff auf den betroffenen Dienst einschränken, strenge Firewall-Regeln anwenden, anfällige Systeme nach Möglichkeit isolieren und das Netzwerkverhalten genau auf Anomalien überwachen.

DRINGLICHKEIT: Da es sich um eine kritische RCE-Sicherheitslücke handelt, ist eine schnelle Bereitstellung von Patches unerlässlich. RCE-Schwachstellen gehören zu den am häufigsten von Angreifern ausgenutzten Schwachstellen, und die potenziellen Auswirkungen – von der Übernahme des Systems bis hin zu weitreichenden lateralen Bewegungen – machen eine sofortige Abhilfe unerlässlich.

Microsoft Office Remote Code Execution Vulnerability CVE-2025-62557

„Wenn die Ausführung von Code von außen möglich wird, wird jedes nicht gepatchte System zu einer offenen Einladung für Angreifer.“

Diese Schwachstelle ermöglicht es einem Angreifer, durch Ausnutzung einer unsachgemäßen Validierung innerhalb einer zentralen Verarbeitungskomponente aus der Ferne beliebigen Code auf betroffenen Systemen auszuführen. Eine erfolgreiche Ausnutzung könnte dem Angreifer die vollständige Kontrolle über das System verschaffen und Datenmanipulationen, Dienstunterbrechungen oder eine weitere Kompromittierung verbundener Umgebungen ermöglichen.

CVSS-Score: 8,4

SCHWERWIEGENDHEIT: Kritisch

BEDROHUNG: Remote Code Execution (RCE)

EXPLOITS: Derzeit sind keine bestätigten öffentlichen Exploits, Zero-Day-Angriffe oder Proof-of-Concept-Codes verfügbar. Dennoch führen RCE-Schwachstellen mit hoher Kritikalität aufgrund ihrer potenziellen Auswirkungen häufig zu einer raschen Entwicklung von Exploits.

TECHNISCHE ZUSAMMENFASSUNG: CVE-2025-62557 wird durch eine unzureichende Eingabevalidierung verursacht, die bei der Verarbeitung von netzwerkbasierten Anfragen auftritt. Diese Schwachstelle ermöglicht es speziell gestalteten Eingaben, unbeabsichtigte Ausführungspfade auszulösen, was letztendlich die Remote-Ausführung von beliebigem Code mit den Berechtigungen des Zielservices ermöglicht. Bei Ausnutzung könnten Angreifer schädliche Software installieren, Systemkonfigurationen manipulieren, sensible Informationen stehlen oder wichtige Vorgänge unterbrechen.

AUSNUTZBARKEIT: Alle Systeme, auf denen anfällige Versionen der betroffenen Software ausgeführt werden, sind gefährdet. Angreifer würden dies in der Regel ausnutzen, indem sie böswillig gestaltete Anfragen an den exponierten Dienstendpunkt senden, wodurch die anfällige Komponente nicht autorisierten Code ausführt.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Ein erfolgreicher Angriff könnte zu einer vollständigen Kompromittierung des Systems führen. Unternehmen können mit Betriebsausfällen, Datenverlusten, finanziellen Schäden und langfristigen Reputationsschäden konfrontiert sein. Da RCE-Schwachstellen Angreifern direkte Kontrolle verschaffen, stellen sie eine erhebliche Bedrohung für die Geschäftskontinuität und die Sicherheitsintegrität dar.

WORKAROUND: Wenn das Patch nicht sofort angewendet werden kann, sollten Unternehmen den Netzwerkzugriff auf den betroffenen Dienst einschränken, zusätzliche Überwachung auf Anomalien aktivieren und strenge Firewall- oder Segmentierungskontrollen einsetzen, um die Gefährdung zu verringern.

DRINGLICHKEIT: Dieses Patch muss schnell eingesetzt werden, da kritische RCE-Schwachstellen oft zu Hauptzielen für die Entwicklung von Exploits werden. Das Risiko einer vollständigen Systemübernahme macht eine schnelle Schadensbegrenzung unerlässlich, um die Sicherheit aufrechtzuerhalten und eine potenzielle Sicherheitsverletzung zu verhindern.

Microsoft Office Remote Code Execution Vulnerability CVE-2025-62562

„Ein einziger übersehener Fehler kann Angreifern als Türöffner dienen, um die vollständige Kontrolle zu erlangen – dieser Patch verschließt diese Tür, bevor jemand durch sie hindurchgeht.“

Diese Schwachstelle ermöglicht es Angreifern, beliebigen Code auf betroffenen Systemen aus der Ferne auszuführen, wodurch sie die Möglichkeit erhalten, ohne Autorisierung bösartige Befehle auszuführen. Wenn sie ausgenutzt wird, gewährt sie dem Angreifer Berechtigungen, die Daten gefährden, den Betrieb stören oder seitliche Bewegungen im Netzwerk ermöglichen könnten.

CVSS-Score: 8,4

SCHWERWIEGENDHEIT: Kritisch

BEDROHUNG: Remote Code Execution (RCE)

EXPLOITS: Derzeit sind keine öffentlichen Exploit-Codes oder Zero-Day-Angriffe bekannt. Schwachstellen, die die Ausführung von Remote-Code ermöglichen, ziehen jedoch aufgrund ihrer hohen Auswirkungen und ihrer breiten Angriffsfläche oft schnell die Entwicklung von Exploits nach sich.

TECHNISCHE ZUSAMMENFASSUNG: CVE-2025-62562 resultiert aus einer unsachgemäßen Eingabeverarbeitung innerhalb einer Kernverarbeitungskomponente der betroffenen Software. Der Fehler ermöglicht es manipulierten Netzwerkeingaben, Sicherheitsprüfungen zu umgehen, was letztlich die Ausführung von beliebigem Code unter dem Sicherheitskontext der Anwendung ermöglicht. Wenn dieser Fehler ausgenutzt wird, könnte ein Angreifer Programme installieren, Daten ändern oder stehlen oder den normalen Systembetrieb stören.

AUSNUTZBARKEIT: Systeme, auf denen anfällige Versionen der betroffenen Software ausgeführt werden, sind gefährdet. Ein Angreifer würde diese Schwachstelle in der Regel ausnutzen, indem er speziell gestaltete Anfragen an den exponierten Dienst sendet und so den Codeausführungspfad auslöst.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Diese Schwachstelle kann direkt zu einer vollständigen Kompromittierung des Systems führen. Unternehmen können mit Betriebsausfällen, Datendiebstahl, Ransomware-Vorfällen und Reputationsschäden konfrontiert werden. Selbst ein einziger erfolgreicher Angriff, der eine RCE-Schwachstelle ausnutzt, kann zu weitreichenden Risiken für das Unternehmen führen.

WORKAROUND: Wenn eine sofortige Patch-Installation nicht möglich ist, beschränken Sie den Zugriff auf den betroffenen Dienst, wenden Sie Filter auf Netzwerkebene an und überwachen Sie ungewöhnliche Verkehrsmuster, bis Updates bereitgestellt werden können.

DRINGLICHKEIT: Da es sich um eine kritische RCE-Sicherheitslücke mit hohem Schadenspotenzial handelt, ist eine schnelle Bereitstellung des Patches unerlässlich, um zu verhindern, dass Angreifer die vollständige Kontrolle über Systeme erlangen. RCE-Schwachstellen sind bevorzugte Ziele für Angreifer und werden oft schnell als Waffen eingesetzt.

Microsoft Windows LNK-Datei-UI-Fehldarstellung (CVE-2025-9491)

„Eine harmlos aussehende Windows-Verknüpfung kann gefährliche Befehle verbergen und ohne Vorwarnung Malware starten.“

Das Update von Microsoft behebt CVE-2025-9491, eine schwerwiegende Schwachstelle in der Darstellung von .LNK-Verknüpfungsdateizielen durch Windows. Durch das Einfügen von Leerzeichen in Befehle konnten Angreifer bösartige Argumente in den Eigenschaften der Datei verstecken, sodass die Verknüpfung sicher erschien. Die Schwachstelle hatte einen hohen CVSS-Score (7,0–7,8) und wurde aktiv in realen Angriffen ausgenutzt, darunter Kampagnen, bei denen PlugX-Malware eingesetzt wurde.

Der Patch zwingt Windows nun dazu, das vollständige, unverhüllte Ziel der Verknüpfung anzuzeigen, sodass Angreifer keine schädlichen Befehle mehr hinter irreführenden UI-Verhaltensweisen verstecken können.

Die Sicherheitsupdates vom Patch Tuesday im Dezember 2025

Nachfolgend finden Sie die vollständige Liste der behobenen Sicherheitslücken in den Updates vom Patch Tuesday im Dezember 2025.

Der Beitrag 2025-12 Patchday erschien zuerst auf Grams IT - Blog.

Heute ist der Patch Tuesday von Microsoft für November 2025, der Sicherheitsupdates für 63 Schwachstellen enthält, darunter eine aktiv ausgenutzte Zero-Day-Sicherheitslücke.

Dieser Patch Tuesday behebt auch vier „kritische” Sicherheitslücken, von denen zwei Remote-Code-Ausführungslücken sind, eine eine Rechteausweitung und die vierte eine Schwachstelle bei der Offenlegung von Informationen.

Die Anzahl der Fehler in jeder Schwachstellenkategorie ist unten aufgeführt:

• 29 Schwachstellen zur Erhöhung von Berechtigungen
• 2 Schwachstellen zur Umgehung von Sicherheitsfunktionen
• 16 Schwachstellen zur Remote-Codeausführung
• 11 Schwachstellen zur Offenlegung von Informationen
• 3 Schwachstellen zum Denial-of-Service
• 2 Schwachstellen zum Spoofing

Details zur kritischen Zero-Day-Schwachstelle

Der dringlichste Punkt auf der Agenda ist die behobene Zero-Day-Lücke. Ein Zero-Day ist eine Schwachstelle, die den Softwareherstellern noch nicht bekannt war, als sie bereits von Angreifern ausgenutzt wurde. Die Zeitspanne zwischen dem ersten Angriff und dem Patch ist „null Tage“ – daher der Name.

Für den Microsoft Patchday November 2025 betrifft die Zero-Day-Lücke (im Folgenden mit der hypothetischen CVE-Nummer CVE-2025-62215 identifiziert) ein fundamentales Windows-Komponente: den Windows-Kernel.

Technische Zusammenfassung

• Ein Synchronisationsfehler ermöglicht den gleichzeitigen Zugriff auf oder die Änderung von gemeinsam genutzten Kernel-Objekten ohne ordnungsgemäße Sperrung oder Reihenfolge, was zu einer Race Condition (CWE-362) führt. Unter bestimmten zeitlichen Umständen kann diese Race Condition zu einer doppelten Freigabe (CWE-415) einer Kernel-Zuweisung führen.
• Der Gewinn des Wettlaufs kann dazu führen, dass ein Objekt zweimal freigegeben wird oder ein Objekt freigegeben wird, während es noch von einem anderen Thread verwendet wird, was zu einer Beschädigung des Kernel-Heaps führt, z. B. durch Use-after-free, dangling pointers oder beschädigte Allokator-Metadaten.
• Ein Angreifer kann dann Funktionszeiger oder vtable-Zeiger in Kernel-Objekten überschreiben oder den Allokatorstatus erzwingen, sodass vom Angreifer kontrollierte Daten als Kernel-Strukturen verwendet werden. Dies kann zur Ausführung von beliebigem Code im Kernel-Kontext (Ring 0) oder zur Manipulation von Tokens (SYSTEM-Token-Diebstahl) führen, wodurch ein lokaler Benutzer mit geringen Berechtigungen zu SYSTEM erhoben wird.

Umfang und Ausnutzbarkeit

• Betrifft alle unterstützten Versionen von Windows 10 und 11 sowie die entsprechenden Windows Server-Versionen.
• Die Ausnutzung erfordert die lokale Ausführung von Code oder den lokalen Zugriff auf den Rechner.
• Der Angriff hängt vom Gewinn eines Timing-Wettlaufs ab, ist daher komplex und fragil und erfordert präzises Timing, Pool-Grooming und gleichzeitige Threads oder Prozesse.
• Der Angreifer benötigt nur geringe Berechtigungen für das Zielkonto und keine Benutzerinteraktion über seine eigene Aktivität hinaus.
• Die Sicherheitsempfehlung stuft das Problem mit etwa 7,0 (wichtig) ein, was die hohe Auswirkung, aber auch die hohe Komplexität der Ausnutzung widerspiegelt. In der Sicherheitsempfehlung wird darauf hingewiesen, dass die Schwachstelle bereits in der Praxis ausgenutzt wurde und dass der Exploit-Code funktionsfähig ist.

Warum dies in Ketten gefährlich ist

• Ein Fehler bei der Remote-Codeausführung in einem netzwerkseitigen Dienst oder ein Browser-Sandbox-Escape könnte die lokale Codeausführung ermöglichen, die zum Ausführen dieses Kernel-Exploits erforderlich ist, wodurch eine Remote-Kompromittierung zu einer vollständigen SYSTEM-Übernahme führen könnte.
• Browser- oder Anwendungs-Sandbox-Escapes, die in diese Kernel-Elevation einfließen, verwandeln webbasierte Angriffe in eine vollständige Kompromittierung des Geräts.
• Von einer Position mit geringen Privilegien auf einem Host aus können Angreifer zu SYSTEM eskalieren, Anmeldedaten auslesen und sich lateral im Netzwerk bewegen.

Auswirkungen auf das Geschäft

• Kompromittierung kritischer Server wie Domänencontroller oder Dateiserver, was zu einer großflächigen Offenlegung von Anmeldedaten führt.
• Laterale Bewegung und Einsatz von Ransomware mit SYSTEM-Privilegien.
• Regulatorische, finanzielle und Reputationsschäden nach umfangreicher Datenexfiltration oder Betriebsstörungen.

Obwohl die hohe Komplexität das Risiko einer massenhaften Ausnutzung verringert, erhöht das Vorhandensein eines funktionsfähigen Exploits, der in freier Wildbahn eingesetzt wird, die Dringlichkeit. Erfahrene Angreifer sind bereits in der Lage, dies in gezielten Kampagnen als Waffe einzusetzen.

Wichtige Angriffsszenarien

1. Gezielte Eindringversuche: Angreifer verschaffen sich einen lokalen Zugang und führen dann die Kernel-Elevation durch, um die vollständige Kontrolle zu erlangen und sich dauerhaft zu etablieren.
2. Exploit-Verkettung: Ein RCE in einem exponierten Dienst oder Browser, gefolgt von einer lokalen Payload und dieser Kernel-Elevation, was zur Übernahme der Domäne führt.
3. Missbrauch von Cloud und Hosting: Wenn der anfällige Codepfad im Hypervisor- oder VM-Treibercode vorhanden ist, könnte eine Eskalation auf gehosteten Windows-Instanzen Multi-Tenant-Dienste beeinträchtigen. Überprüfen Sie die spezifischen Angaben des Anbieters.

Sofortmaßnahme: Die Behebung dieser Zero-Day-Lücke muss die absolute Priorität in Ihrem Patch-Management-Prozess sein.

Microsoft Office Remote Code Execution (CVE-2025-62199)

Ein Use-after-free-Fehler in der Dokumentenverarbeitung und der Vorschau von Office kann es einem Angreifer ermöglichen, einen Benutzer dazu zu bringen, eine manipulierte Datei zu öffnen oder in der Vorschau anzuzeigen, um beliebigen Code innerhalb des Office-Prozesses auszuführen. Das Problem wird als kritisch eingestuft; die Sicherheitsempfehlung enthält keinen öffentlichen Proof-of-Concept und es wurden keine Exploits in freier Wildbahn beobachtet.

Technische Zusammenfassung

• Grundursache: Ein Use-after-free-Fehler (CWE-416), bei dem Office eine Referenz auf bereits freigegebenen Speicher dereferenziert.
• Ein dangling pointer kann wiederverwendet werden, um vom Angreifer kontrollierte Daten zu platzieren oder Funktionszeiger, vtables oder Callback-Ziele zu überschreiben, wodurch die Ausführung von Code im Office-Prozess unter den Berechtigungen des Benutzers ermöglicht wird.
• Typischer Ablauf: Parsen von manipulierten Inhalten, Auslösen einer vorzeitigen Objektfreigabe, während ein Zeiger aktiv bleibt, anschließende Dereferenzierung führt zur Ausführung von vom Angreifer kontrollierten Daten oder zur Übernahme der Kontrollflusssteuerung.

Betroffene Komponenten

Microsoft Office Desktop (Word, Excel, PowerPoint) und alle Office-Komponenten, die denselben Codepfad verwenden, einschließlich der Vorschau-Leiste, der Outlook-Anhangsvorschau und der lokalen Office-Vorschau-Darstellung in OneDrive oder SharePoint.

Ausnutzbarkeit und CVSS

• CVSS 3.1 um 7,8 (kritisch), was die hohen Auswirkungen mit erforderlichen Benutzeraktionen widerspiegelt.
• Angriffsvektor: lokal, über ein manipuliertes Dokument, das geöffnet oder in der Vorschau angezeigt wird (E-Mail-Anhang, freigegebener Link, synchronisierte Datei, Vorschaufenster).
• Komplexität des Angriffs: gering, das Problem ist nicht zeitabhängig und das manipulierte Dokument löst während der Analyse oder Darstellung einen deterministischen Use-after-free-Angriff aus.
• Erforderliche Berechtigungen: keine.
• Benutzerinteraktion: erforderlich, das Opfer muss die Datei öffnen oder in der Vorschau anzeigen.

Angriffsablauf

1. Der Angreifer erstellt ein bösartiges Office-Dokument, das den Parser oder Renderer manipuliert, um ein Objekt vorzeitig freizugeben.
2. Das Opfer öffnet oder zeigt das Dokument in der Vorschau an und löst damit den anfälligen Codepfad aus.
3. Office dereferenziert den freigegebenen Zeiger; vom Angreifer kontrollierte Daten an dieser Adresse verändern den Kontrollfluss und führen zur Ausführung von beliebigem Code im Office-Prozess.

Ziele und Techniken der Nutzlast

• Gängige Nutzlasten: Erzeugen einer Shell, Ablegen eines Downloaders, Ausführen einer Nutzlast der zweiten Stufe oder Durchführen eines reflektierenden Ladens im Speicher, um Artefakte auf der Festplatte zu vermeiden.
• Unterstützende Techniken: Heap-Spraying über eingebettete Inhalte, Return-Oriented Programming zur Umgehung von DEP und Nutzung von Info-Disclosure-Fehlern zur Umgehung von ASLR.

Öffentliche Bekanntgabe und Ausnutzung

• Öffentlicher PoC: zum Zeitpunkt der Bekanntgabe keiner.
• Ausgenutzt in freier Wildbahn: keine gemeldet.

Mögliche Auswirkungen

Vollständige Kompromittierung der Benutzersitzung, mögliche laterale Bewegung, Diebstahl von Anmeldedaten aus LSA oder gespeicherten Office-Anmeldedaten, Persistenz im Speicher. In Verbindung mit einer Erhöhung der Berechtigungen könnte dies zu einer vollständigen Kompromittierung des Hosts oder der Domäne führen. Zu den Folgen gehören das Sammeln von Anmeldedaten von hochwertigen Benutzern, der Einsatz von Ransomware, der Diebstahl von geistigem Eigentum, die Kompromittierung von E-Mail-Konten für Betrugszwecke und der Missbrauch von Vertrauen in nachgelagerten Bereichen.

Prioritätsbewertung

• Warum dies eine hohe Priorität hat: Geringe Komplexität, keine erforderlichen Berechtigungen und gängige Angriffsvektoren wie E-Mail und das Vorschaufenster machen dies attraktiv für Massen-Phishing und gezielte Kampagnen.
• Warum es noch nicht katastrophal ist: Kein öffentlicher Proof-of-Concept und keine bekannten Exploits in freier Wildbahn verringern das unmittelbare Risiko einer massenhaften Ausnutzung, obwohl sich dies schnell ändern kann.

Worst-Case-Szenario

Eine Phishing-Kampagne, die einen zuverlässigen Exploit für diesen Fehler mit einer verfügbaren Kernel-Rechteausweitung kombiniert, würde zu einer großen Anzahl von kompromittierten Benutzern führen und könnte schnell zu einer vollständigen Übernahme des Hosts oder der Domäne eskalieren.

GDI+ Heap-basierter Pufferüberlauf (CVE-2025-60724)

Ein heap-basierter Pufferüberlauf in der Microsoft Graphics-Komponente (GDI+), der beim Parsen von Metadateien ausgelöst wird, kann ohne Benutzerinteraktion aus der Ferne ausgenutzt werden. Eine speziell gestaltete Metadatei, die in ein Dokument eingebettet oder auf einen Dienst hochgeladen wird, der solche Dateien parst oder rendert, kann zur Remote-Codeausführung im Kontext des Zielprozesses führen.

Technische Zusammenfassung

• Schwachstellenklasse: CWE-122, heap-basierter Pufferüberlauf – Speicher auf dem Heap wird über seine Grenzen hinaus beschrieben.
• Mögliche Ursachen basierend auf gängigen GDI+/Metadatei-Mustern: unzureichende Längen- oder Größenvalidierung beim Parsen von Metadatei-Datensätzen; ganzzahlige Arithmetikfehler, die zu unterzuweisenden Puffern führen; fehlende Validierung der Datensatzgrenzen vor dem Kopieren von Zeichnungsbefehlen variabler Länge oder eingebetteten Blobs.
• Die daraus resultierende Speicherbeschädigung ermöglicht es Angreifern, außerhalb einer Heap-Zuweisung zu schreiben, wodurch benachbarte Heap-Metadaten oder Funktionszeiger überschrieben und der Ausführungsfluss kontrolliert werden können.
• Metadateien sind mit einem hohen Risiko verbunden, da sie ausführbare Zeichenbefehle und Strukturen variabler Länge enthalten und ihre Parser komplex sind.

Umfang und Bewertung

• Kernkomponente: Microsoft Graphics Component (GDI+). Betroffen sind alle Windows-Komponenten oder -Anwendungen, die den anfälligen GDI+-Codepfad zum Parsen oder Rendern von Metadateien verwenden.
• CVSS 3.1: 9,8 (kritisch), was eine aus der Ferne ausnutzbare, schwerwiegende und wenig komplexe Schwachstelle widerspiegelt.

Ausnutzbarkeit und Auswirkungen

• Netzwerkvektor und keine Benutzerinteraktion erforderlich, im Gegensatz zu Office-Vorschau-Fehlern, bei denen der Benutzer Dateien öffnen muss. Ein einziger manipulativer Upload kann einen Dateiverarbeitungsserver kompromittieren.
• Die geringe Komplexität der Ausnutzung erhöht das Risiko einer automatisierten Massenausnutzung oder eines wormbaren Verhaltens, wenn ein Exploit erscheint.
• Die Angriffsfläche ist sehr groß, da viele Komponenten von Erst- und Drittanbietern GDI+ verwenden (Thumbnailer, Drucker, Konvertierungsdienste, Cloud-Vorschau-Dienste). Die Kompromittierung eines zentralisierten Dokument-Rendering-Dienstes kann einen einzigen böswilligen Upload in viele kompromittierte Clients oder einen dauerhaften Server-Fußhalt verwandeln.

Öffentliche Bekanntgabe und beobachtete Ausnutzung

• Öffentlicher PoC: keine gemeldet.
• Beobachtete Ausnutzung: keine gemeldet.

Warum dies ein hochkarätiger Pivot-Bug ist

• Kompromittierung eines eigenständigen Servers: Direkte RCE in einem Serverprozess, der mit SYSTEM oder anderen hohen Berechtigungen ausgeführt wird, führt zur vollständigen Kompromittierung des Hosts, zu lateraler Bewegung und zu Datenexfiltration.
• Massenverteilungsvektor: Ein böswilliger Upload, der von einem zentralen Dienst gerendert wird, kann an viele Clients ausgeliefert werden, was eine Kompromittierung der Lieferkette oder der Inhaltsverteilung ermöglicht.
• Verkettung: RCE gefolgt von Memory Dumping oder LSA-Geheimnisextraktion kann eine laterale Ausbreitung mit gesammelten Anmeldedaten ermöglichen.
• Eskalation und Persistenz: RCE in Kombination mit einem Bug zur Erhöhung von Privilegien könnte es Angreifern ermöglichen, persistente Komponenten auf Kernel-Ebene zu installieren oder Sicherheitstools zu manipulieren.

Warum dies dringend Aufmerksamkeit erfordert

• Ein über das Netzwerk erreichbarer RCE ohne Benutzerinteraktion und mit geringer Komplexität gehört zu den gefährlichsten Arten von Schwachstellen. Das Potenzial für Serverkompromittierungen, Auswirkungen auf Mandanten in Multi-Mandanten-Systemen und schnelle Massenausnutzung machen dies zu einer obersten Priorität für die Risikobewertung.
• Exploit-Entwickler müssen noch zuverlässige Allokator- und Interpreter-Manipulationen für alle Windows-Versionen und Schutzmaßnahmen wie CFG, ASLR und DEP entwickeln, was die Waffenbildung verzögern könnte. Historische GDI+- und Bildanalyse-Fehler wurden jedoch oft schnell zu Waffen umfunktioniert.

Mögliche Motive der Angreifer

• Massenkompromittierung, einschließlich Würmern, Cryptominern oder Ransomware.
• Gezielte Angriffe auf die Infrastruktur zur Dokumentendarstellung.
• Angriffe auf die Lieferkette, die weit verbreitete Rendering-Dienste als Waffe einsetzen.

Microsoft SQL Server – Erhöhung von Berechtigungen (CVE-2025-59499)

Eine über das Netzwerk erreichbare SQL-Injection in der Datenbanknamenverarbeitung von SQL Server ermöglicht es einem authentifizierten Benutzer mit geringen Berechtigungen, beliebige Transact-SQL-Befehle einzuschleusen. Eine erfolgreiche Ausnutzung kann zu einer Eskalation der Berechtigungen für das Dienstkonto führen, unter dem SQL Server ausgeführt wird, wodurch möglicherweise sysadmin- oder SYSTEM-Ebene-Kontrolle gewährt wird.

Technische Zusammenfassung

• Schwachstellenklasse: CWE-89, SQL-Injection.
• Ursache: Datenbankkennungen (Datenbanknamen) werden bei der Verwendung zum Erstellen von internem T-SQL nicht ordnungsgemäß bereinigt oder parametrisiert, sodass ein Angreifer SQL-Steuerzeichen einbetten kann, die die Ausführung von Befehlen auf Serverseite verändern.
• Auswirkung: Injiziertes T-SQL wird in einem privilegierten Serverkontext ausgeführt, was zu sysadmin-Rechten und der Ausführung von Befehlen auf Serverseite führen kann.

Ausnutzbarkeit

• Basisbewertung: 8,8 (wichtig).
• Angriffsvektor: Netzwerk, über direkte TDS-Verbindungen oder über Anwendungen, die betroffene APIs aufrufen.
• Komplexität des Angriffs: gering, Payloads können deterministisch sein.
• Erforderliche Berechtigungen: gering – Angreifer benötigen eine gültige SQL-Authentifizierung oder die Möglichkeit, sich über ein vertrauenswürdiges Anwendungskonto zu verbinden.
• Benutzerinteraktion: keine, sobald der Angreifer manipulierte Befehle senden kann.
• Ausnutzungsreife: unbewiesen, kein öffentlicher Proof-of-Concept und keine beobachteten Ausnutzungen in freier Wildbahn gemeldet.

Wahrscheinlich betroffene Systeme

SQL Server 2016 SP3, 2017, 2019 und 2022 (gemäß Patch-Tabelle von Microsoft).

Warum dies in Ketten gefährlich ist

1. Web-Kompromittierung, dann SQL EoP, wobei eine Web-App-Schwachstelle oder gestohlene Anmeldedaten den ersten Zugriff ermöglichen, der über diesen Fehler auf den Systemadministrator eskaliert wird.
2. SQL EoP zur OS-Kontrolle, z. B. durch Verwendung von xp_cmdshell zum Ausführen von Systembefehlen und anschließender Verkettung mit einer Kernel-Elevation für die vollständige System- oder Domänenkontrolle.
3. Kompromittierung von Dienstkonten, da viele SQL Server-Instanzen unter Domänenkonten ausgeführt werden, was den Diebstahl von Anmeldedaten und laterale Bewegungen ermöglicht.
4. Persistenz und Umgehung durch versteckte Trigger, signierte gespeicherte Prozeduren oder bösartige CLR-Assemblies.

Operative Schwere

Obwohl als Privilegienerweiterung klassifiziert, sind die Auswirkungen auf den Betrieb aufgrund des Netzwerkvektors, der geringen Komplexität und der Möglichkeit einer vollständigen Übernahme der Systemadministrationsrechte ähnlich wie bei einer Remote-Codeausführung auf Datenbankebene. SQL Server enthält häufig die sensibelsten Daten eines Unternehmens, sodass eine erfolgreiche Ausnutzung zu Datendiebstahl, Ransomware und einer weitreichenden lateralen Bewegung führen kann.

Ausblick

Nach der Veröffentlichung der Sicherheitsempfehlung ist mit einer raschen Erforschung des Exploits zu rechnen. SQL-Injection-Vektoren sind oft reproduzierbar, sodass Proof-of-Concepts schnell verfügbar sein können. Diese Schwachstelle stellt ein hohes Risiko für Umgebungen mit gemeinsam genutzten SQL-Servern, flachen Netzwerken oder schwacher Berechtigungsverwaltung dar.

Die Patch Tuesday-Sicherheitsupdates vom November 2025

Nachfolgend finden Sie die vollständige Liste der behobenen Schwachstellen in den Patch Tuesday-Updates vom November 2025.

Der Beitrag 2025-11 Patchday erschien zuerst auf Grams IT - Blog.

Der Patchday ist der kritischste Tag im Monat für jede IT-Abteilung. Doch der Microsoft Patchday Oktober 2025 stellt eine besondere Herausforderung dar. Er markiert nicht nur das Ende des Supports für zentrale Produkte wie Windows 10 und Exchange Server 2016/2019, sondern bringt auch eine alarmierend hohe Anzahl an dringend zu schließenden Sicherheitslücken mit sich.

Dieser Artikel liefert Ihnen als IT-Verantwortlichen oder Sicherheitsspezialisten die vollständige, tiefgehende Analyse aller veröffentlichten Sicherheitsupdates. Wir schlüsseln die Bedrohungen auf, nennen die kritischsten Zero-Day-Schwachstellen und geben Ihnen eine klare Handlungsanweisung, um Ihre Infrastruktur schnellstmöglich zu härten.

Lesen Sie jetzt, welche kritische Sicherheitslücken Sie sofort priorisieren müssen und wie Sie die bevorstehenden End-of-Support-Meilensteine sicher managen.

Die Zahlen der Bedrohung: 6 Zero-Days und 172 Schwachstellen

Der Umfang der Korrekturen in diesem Monat unterstreicht die Notwendigkeit eines robusten Patch Management. Insgesamt adressiert Microsoft 172 Schwachstellen. Diese hohe Zahl ist besorgniserregend und erfordert eine präzise Priorisierung der Updates.

Die Anzahl der Fehler in jeder Schwachstellenkategorie ist unten aufgeführt:

80 Schwachstellen durch Erhöhung der Berechtigung (Elevation of Privilege)
11 Anfälligkeiten für die Umgehung von Sicherheitsfunktionen
31 Schwachstellen durch Remotecode-Ausführung
28 Schwachstellen in Bezug auf die Offenlegung von Informationen
11 Denial-of-Service-Schwachstellen
10 Spoofing-Schwachstellen

Aufschlüsselung der Schweregrade

Um den Überblick zu behalten, ist es entscheidend, die Lücken nach ihrem Schweregrad zu klassifizieren.

• Kritisch (Critical): Mehrere Schwachstellen wurden als Kritisch eingestuft. Dies bedeutet, dass sie ohne Benutzerinteraktion oder mit minimalen Berechtigungen zur vollständigen Kompromittierung des Systems führen können, oft durch Remote Code Execution (RCE).
• Wichtig (Important): Der Großteil der CVE-Nummern fällt in diese Kategorie. Diese Lücken können zu erhöhten Privilegien, Denial of Service (DoS) oder Informationslecks führen.
• Niedrig/Mittel: Diese sind ebenfalls zu beheben, stellen aber keine unmittelbare, akute Bedrohung dar.

Top-Priorität: Die 6 Zero-Day-Schwachstellen

Das größte Risiko geht von den Schwachstellen aus, die bereits aktiv von Angreifern ausgenutzt werden – den sogenannten Zero-Day-Schwachstellen. Der Oktober-Patchday beseitigt sechs solcher Lücken. Dies ist ein extrem hoher Wert und signalisiert eine erhöhte Angriffsaktivität, die sofortige Reaktion erfordert.

Was sind Zero-Days? Zero-Day-Lücken sind Fehler in der Software, die der Hersteller (Microsoft) gerade erst kennt oder für die noch kein Patch existiert, die aber bereits in freier Wildbahn für Angriffe genutzt werden. Die sofortige Installation der Sicherheitsupdates hat hier absolute Priorität.

CVE-2025-59230: Sicherheitslücke durch Rechteausweitung im Windows Remote Access Connection Manager

Die erste Zero-Day-Sicherheitslücke ist eine Schwachstelle im Windows Remote Access Connection Manager (RACMAN)-Dienst, der VPN- und Fernzugriffsverbindungen verwaltet. Durch unsachgemäße Zugriffskontrollen (CWE-284) kann ein authentifizierter Benutzer mit geringen Berechtigungen seine Rechte auf SYSTEM ausweiten.

Das Problem scheint darauf zurückzuführen zu sein, dass der RACMAN-Dienst Befehle von Benutzern mit geringeren Berechtigungen validiert und verarbeitet, ohne die Autorisierung vor der Ausführung privilegierter Vorgänge ordnungsgemäß zu überprüfen.

Wichtige Kennzahlen

• Angriffsvektor: Lokal (AV:L)
• Komplexität des Angriffs: Gering (AC:L)
• Erforderliche Berechtigungen: Gering (PR:L)
• Basisbewertung: 7,8 (Hoch)
• Zeitliche Bewertung: 7,2 (hoch)

Ausnutzungsstatus

• In freier Wildbahn: Ja, eine Ausnutzung wurde festgestellt.
• Proof of Concept: Es gibt einen funktionsfähigen Exploit, der jedoch möglicherweise nicht öffentlich verfügbar ist.

Betroffene Systeme

• Windows 10- und Windows 11-Workstations
• Windows Server 2016, 2019 und 2022

Warum dies gefährlich ist

1. SYSTEM-Berechtigungen gewähren die vollständige Kontrolle über das kompromittierte System.

2. Die Schwachstelle kann in Angriffsketten genutzt werden, um:

• Berechtigungen nach dem ersten Zugriff durch Phishing oder andere Eintrittsvektoren zu eskalieren
• Nach anderen Exploits Persistenz herzustellen
• Die Benutzerkontensteuerung (UAC) zu umgehen (UAC)
• Unterstützung komplexerer Angriffe auf Domänencontroller in Kombination mit lateraler Bewegung

3. Die geringe Komplexität der Ausnutzung macht sie für Angreifer mit mittleren Fähigkeiten zugänglich.

Risikofaktoren für Unternehmen Viele Unternehmen sind weiterhin gefährdet, da Remotezugriffsdienste weit verbreitet sind und Windows nach wie vor die Unternehmensumgebungen dominiert. Die aktive Ausnutzung erhöht die Dringlichkeit, schnell Patches zu installieren. In großen Umgebungen oder solchen mit langsameren Patch-Zyklen kann die Gefährdung auch nach der Veröffentlichung von Korrekturen bestehen bleiben.

Was diesen Zero-Day-Exploit für Angreifer besonders attraktiv macht, ist seine Zuverlässigkeit und das hochwertige Ergebnis – konsistenter Zugriff auf SYSTEM-Ebene ohne komplexe Voraussetzungen.

CVE-2025-24990: Windows Agere Modemtreiber – Sicherheitslücke durch Rechteausweitung

Ein weiterer Zero-Day-Exploit betrifft den Agere-Modemtreiber (ltmdm64.sys), der standardmäßig mit Windows-Betriebssystemen ausgeliefert wird. Die Schwachstelle ist eine nicht vertrauenswürdige Pointer-Dereferenzierung (CWE-822), die auftritt, wenn der Treiber die vom Benutzer bereitgestellten Zeiger nicht ordnungsgemäß validiert, bevor er sie im Kernel-Modus dereferenziert. Dieser Fehler ermöglicht es Angreifern, Speicherstrukturen mit Kernel-Rechten zu manipulieren.

Das Problem ist besonders besorgniserregend, da es in einem Legacy-Hardware-Support-Code vorhanden ist, der standardmäßig auf Windows-Systemen installiert ist, selbst wenn die zugehörige Hardware nicht vorhanden ist oder nicht verwendet wird.

Wichtige Kennzahlen

• Angriffsvektor: Lokal (AV:L)
• Komplexität des Angriffs: Gering (AC:L)
• Erforderliche Berechtigungen: Gering (PR:L)
• Basisbewertung: 7,8 (Hoch)
• Zeitliche Bewertung: 7,2 (Hoch)

Ausnutzungsstatus

• In freier Wildbahn: Ja, aktive Ausnutzung festgestellt
• Proof of Concept: Es existiert ein funktionierender Exploit
• Öffentliche Bekanntgabe: Keine vor dem Sicherheitsbulletin

Betroffene Systeme

• Alle unterstützten Windows-Desktop- und Server-Versionen
• Systeme mit oder ohne Agere-Modem-Hardware

Warum dies gefährlich ist

1. Da die Schwachstelle im Kernel-Modus auftritt, können Angreifer die höchsten Berechtigungen erlangen, was Folgendes ermöglicht:

• Vollständige Kompromittierung des Systems
• Zugriff auf geschützte Systemressourcen
• Deaktivierung von Sicherheitskontrollen
• Installation von persistenten Backdoors

2. In fortgeschrittenen Angriffsketten könnte sie genutzt werden, um:

• Anwendungs-Sandboxes zu umgehen
• Nach der ersten Kompromittierung Persistenz aufrechtzuerhalten
• Zusätzliche Malware mit Systemrechten zu installieren
• Sich lateral innerhalb von Unternehmensnetzwerken zu bewegen
• Sicherheits-Tools auf dem betroffenen System zu manipulieren

3. Das Risiko wird verstärkt, weil:

• Die Ausnutzung nicht von der tatsächlichen Hardware abhängt
• Microsoft sich dafür entschieden hat, den anfälligen Treiber vollständig zu entfernen, anstatt ihn zu patchen
• Die Ausnutzung wenig komplex ist

Auswirkungen auf Unternehmen Das potenzielle Risiko ist groß, da der anfällige Treiber standardmäßig in den meisten Windows-Installationen vorhanden ist. Unternehmen mit älteren Systemen, die auf Agere-Modemhardware angewiesen sind, stehen vor einer zusätzlichen Herausforderung, da die Hardware nach dem kumulativen Update im Oktober nicht mehr funktionieren wird.

Aktive Ausnutzung bestätigt, dass Angreifer diesen Zero-Day bereits nutzen. Die Entscheidung von Microsoft, den Treiber zu entfernen, anstatt ihn zu patchen, deutet darauf hin, dass der Fehler tief in seinem Design verwurzelt ist und nicht behoben werden kann, ohne die Funktionalität zu beeinträchtigen. Dies erhöht sowohl die Sicherheits- als auch die Betriebsrisiken für betroffene Umgebungen.

CVE-2025-24052: Windows Agere Modemtreiber – Sicherheitslücke durch Rechteausweitung

Dieser Zero-Day betrifft den Agere-Modemtreiber (ltmdm64.sys), der standardmäßig mit Windows ausgeliefert wird. Es handelt sich um einen stapelbasierten Pufferüberlauf (CWE-121), der durch eine unsachgemäße Validierung der Eingabepuffergrößen vor dem Kopieren von Daten in einen Stapelpuffer mit fester Größe verursacht wird. Die daraus resultierende Speicherbeschädigung kann zur Ausführung von Code auf Kernel-Ebene und zur Ausweitung von Berechtigungen führen.

Der Fehler befindet sich in einem veralteten Treibercode, der auch dann auf modernen Systemen installiert bleibt, wenn die entsprechende Hardware nicht vorhanden ist. Dadurch erhöht sich das Risiko für viele Geräte.

Wichtige Kennzahlen

• Angriffsvektor: Lokal (AV:L)
• Komplexität des Angriffs: Gering (AC:L)
• Erforderliche Berechtigungen: Gering (PR:L)
• Basisbewertung: 7,8 (Hoch)
• Zeitliche Bewertung: 7,0 (hoch)

Ausnutzungsstatus

• In freier Wildbahn: Keine bestätigte Ausnutzung festgestellt
• Proof of Concept: Es gibt einen PoC, der jedoch möglicherweise noch nicht vollständig einsatzbereit ist
• Öffentliche Bekanntgabe: Ja, die Schwachstelle wurde öffentlich bekannt gegeben

Betroffene Systeme

• Alle unterstützten Windows-Desktop-Versionen (Windows 10, Windows 11)
• Alle unterstützten Windows Server-Versionen
• Systeme mit oder ohne physische Agere-Modem-Hardware

Warum dies schwerwiegend ist

1. Als Kernel-Mode-Fehler kann eine erfolgreiche Ausnutzung die Ausführung von beliebigem Code auf der höchsten Privilegienebene ermöglichen, wodurch das gesamte System kompromittiert und dauerhaft beeinträchtigt werden kann.
2. In komplexen Angriffsketten kann dies für die Eskalation von Privilegien nach der Kompromittierung, das Entkommen aus der Sandbox, laterale Bewegungen und die Untergrabung von Sicherheitstools, die auf Kernel-Komponenten basieren, genutzt werden.
3. Der stapelbasierte Überlauf kann die Ausführung von Shellcode, die Beschädigung von Kernel-Datenstrukturen und die Kontrolle des Programmablaufs ermöglichen.

Auswirkungen auf den Betrieb Microsoft hat den Treiber entfernt, anstatt ihn zu patchen, wodurch die Schwachstelle beseitigt wird, aber Kompatibilitätsprobleme für Unternehmen entstehen, die weiterhin auf Agere-Modem-Hardware angewiesen sind. Die Einschätzung von Microsoft, dass eine Ausnutzung „sehr wahrscheinlich“ ist, sowie die öffentliche Bekanntgabe und ein verfügbarer PoC bedeuten, dass das Zeitfenster für die Ausnutzung der Schwachstelle immer kleiner wird, auch wenn bisher keine aktive Ausnutzung bestätigt wurde.

CVE-2025-0033: AMD RMP-Beschädigung während der SNP-Initialisierung

Eine weitere Zero-Day-Sicherheitslücke, die am Tag vor dem Patch Tuesday bekannt wurde, ist eine kritische Schwachstelle in AMD EPYC-Prozessoren, die die Secure Encrypted Virtualization – Secure Nested Paging (SEV-SNP)-Technologie implementieren. Der Fehler resultiert aus einer Race Condition während der Initialisierung der Reverse Map Table (RMP), einer wichtigen SEV-SNP-Struktur, die die Eigentumsverhältnisse und Berechtigungen von physischen Speicherseiten verfolgt.

Während des SNP-Initialisierungsprozesses gibt es ein Zeitfenster, in dem RMP-Einträge konfiguriert, aber noch nicht gesperrt sind. Ein privilegierter Angreifer könnte diese Lücke ausnutzen, um RMP-Einträge zu ändern, wodurch ein kompromittierter Hypervisor möglicherweise die Sicherheitsattribute von Speicherseiten ändern könnte, die vertraulichen virtuellen Maschinen (VMs) zugewiesen sind, wodurch die Sicherheitsgarantien von SEV-SNP untergraben würden.

Wichtige Kennzahlen

• Angriffsvektor: Lokal (AV:L)
• Komplexität des Angriffs: Gering (AC:L)
• Erforderliche Privilegien: Hoch (PR:H)
• Basisbewertung: 8,2 (Hoch)
• Zeitliche Bewertung: 7,1 (Hoch)

Ausnutzungsstatus

• In freier Wildbahn: Keine bekannte Ausnutzung
• Proof of Concept: Kein öffentlicher Exploit verfügbar (Reife des Exploit-Codes: Unbewiesen)
• Öffentliche Bekanntgabe: Ja, bekannt gegeben von AMD am 13. Oktober 2025

Betroffene Systeme

• AMD EPYC-Prozessoren mit SEV-SNP-Fähigkeit
• Virtualisierungsumgebungen, die AMD SEV-SNP für vertrauliche Datenverarbeitung verwenden
• Cloud-Plattformen, die AMD-basierte vertrauliche Datenverarbeitungsdienste anbieten
• Lokale Private Clouds, auf denen SEV-SNP-fähige Hardware ausgeführt wird

Warum dies wichtig ist

1. Die Schwachstelle untergräbt die zentralen Sicherheitsgrenzen der vertraulichen Datenverarbeitung, indem sie:

• die hardwaregestützte Isolation zwischen Hypervisor und Gast-VMs aufhebt
• die Änderung des geschützten VM-Speichers ermöglicht
• möglicherweise die Beglaubigungsmechanismen in SEV-SNP-Umgebungen beeinträchtigt

2. Bei fortgeschrittenen Angriffen könnte dies Folgendes ermöglichen:

• Umgehung der SEV-SNP-Verschlüsselung und Isolationsschutzmaßnahmen
• Manipulation von Speicherinhalten in vertraulichen VMs
• Einschleusen von bösartigem Code in geschützte Workloads
• Erleichterung von Seitenkanalangriffen

3. Dies könnte auch mit folgenden Faktoren kombiniert werden:

• Schwachstellen bei der Eskalation von Hypervisor-Rechten
• Andere Schwachstellen von AMD-Prozessoren
• Supply-Chain-Angriffe auf vertrauliche Computing-Infrastrukturen

Auswirkungen und Risiken Nur eine kleine Anzahl von Organisationen betreibt SEV-SNP-fähige Systeme, in der Regel große Cloud-Anbieter, Regierungsbehörden, Finanzinstitute und Gesundheitsorganisationen, die mit hochsensiblen Daten umgehen. Die Ausnutzung dieser Schwachstelle ist aufgrund der erforderlichen Zugriffsrechte auf Hypervisor-Ebene und der erforderlichen tiefgreifenden technischen Kenntnisse über SEV-SNP begrenzt.

Große Cloud-Anbieter wie Microsoft Azure mindern dieses Risiko durch strenge administrative Kontrollen, mehrschichtige Abwehrmaßnahmen und kontinuierliche Integritätsüberwachung. Die Schwachstelle ist zwar schwerwiegend, eine praktische Ausnutzung ist jedoch für die meisten Umgebungen unwahrscheinlich. Bei gezielten Angriffen auf hochwertige vertrauliche Computersysteme bleibt sie jedoch ein erhebliches Problem, das eine umgehende Installation von Patches erfordert, sobald Updates verfügbar sind.

CVE-2025-59287: Schwachstelle in Windows Server Update Service (WSUS) ermöglicht Remote-Code-Ausführung

Dies ist eine kritische Sicherheitslücke in Windows Server Update Services (WSUS), einem Kernbestandteil der Patch-Infrastruktur von Microsoft für Unternehmen. Es handelt sich um ein Problem der Deserialisierung nicht vertrauenswürdiger Daten (CWE-502), das es WSUS ermöglicht, von Angreifern kontrollierte Objekte ohne ausreichende Validierung zu deserialisieren, was zur Remote-Codeausführung im Kontext des WSUS-Dienstes führen kann.

Die Ursache scheint ein unsicherer älterer Serialisierungsmechanismus zu sein, der eingehende Netzwerkereignisse verarbeitet. WSUS validiert Objekttypen vor der Deserialisierung nicht, sodass ein Angreifer bösartige serialisierte Objekte bereitstellen kann, die bei der Deserialisierung Code ausführen. Der Dienst wird in der Regel mit SYSTEM-Rechten ausgeführt, sodass bei erfolgreicher Ausnutzung Code mit hohen Rechten ausgeführt werden kann.

Wichtige Kennzahlen

• Angriffsvektor: Netzwerk (AV:N)
• Komplexität des Angriffs: Gering (AC:L)
• Erforderliche Berechtigungen: Keine (PR:N)
• Basisbewertung: 9,8 (kritisch)
• Zeitliche Bewertung: 8,5 (hoch)

Ausnutzungsstatus

• In freier Wildbahn: Zum Zeitpunkt der Offenlegung sind keine Ausnutzungen bekannt.
• Proof of Concept: Kein öffentlicher Exploit verfügbar (Reife des Exploit-Codes: unbewiesen)
• Öffentliche Bekanntgabe: Keine öffentliche Bekanntgabe vor Veröffentlichung des Patches

Betroffene Systeme

• Windows-Server, auf denen WSUS ausgeführt wird
• Systeme, die in Unternehmensumgebungen als WSUS-Server konfiguriert sind
• Alle unterstützten Windows Server-Versionen, auf denen die WSUS-Rolle installiert ist
• Sowohl dedizierte WSUS-Server als auch Mehrzweckserver, auf denen WSUS ausgeführt wird

Warum dies gefährlich ist

1. WSUS wird normalerweise mit SYSTEM-Rechten ausgeführt, sodass der Angreifer durch die Ausnutzung die höchsten lokalen Rechte erhält.
2. WSUS-Server verfügen in der Regel über Netzwerkverbindungen zu vielen Endpunkten und können bei falscher Konfiguration über das Internet zugänglich sein.
3. Eine erfolgreiche Ausnutzung könnte es einem Angreifer ermöglichen, bösartige Updates auf verwalteten Systemen zu installieren, was zu einer weitreichenden Kompromittierung und dauerhaften Hintertüren führen könnte.
4. Als Teil einer Angriffskette könnte dies mit anderen Schwachstellen in der Infrastruktur oder Supply-Chain-Techniken kombiniert werden, um die Auswirkungen zu verstärken.

Auswirkungen auf Unternehmen

• Viele mittlere bis große Unternehmen verlassen sich bei der Patch-Verwaltung auf WSUS; einigen Schätzungen zufolge liegt die Nutzungsrate in diesen Segmenten bei 70 bis 80 Prozent.
• Unternehmen mit mehreren WSUS-Servern oder segmentierten Netzwerken sind einem erhöhten Risiko ausgesetzt.
• Kritische Infrastrukturen, Behörden, Finanzinstitute und Einrichtungen des Gesundheitswesens verwenden häufig WSUS, was das Potenzial für schwerwiegende Folgen erhöht.
• Die Wiederherstellung nach einer Kompromittierung der Update-Infrastruktur kann die Wiederherstellung des Vertrauens in der gesamten Umgebung und die Wiederherstellung der Update-Pipeline erfordern.

Die Einschätzung von Microsoft, dass eine Ausnutzung „sehr wahrscheinlich“ ist, sowie der ferngesteuerte, nicht authentifizierte Angriffsvektor und die geringe Komplexität machen dies zu einem Problem mit hoher Priorität für betroffene Unternehmen.

Das Ende einer Ära: Windows 10 Support-Ende

Der Microsoft Patchday Oktober 2025 ist für Millionen von Unternehmen und Privatnutzern ein historischer Meilenstein. Ab diesem Zeitpunkt erhält Windows 10 keine kostenlosen, regulären Sicherheitsupdates mehr.

Der allerletzte Patchday für die meisten Nutzer

Mit dem Oktober-Update wird der offizielle Support für Windows 10 für alle nicht berechtigten oder nicht zahlenden Kunden eingestellt. Das bedeutet:

1. Keine neuen Sicherheitskorrekturen: Alle nach diesem Datum entdeckten Schwachstellen, einschließlich neuer Zero-Days, werden nicht mehr kostenlos von Microsoft behoben.
2. Erhöhtes Risiko: Geräte, die mit dem Internet verbunden sind und Windows 10 ohne Extended Security Updates (ESU) nutzen, werden schnell zu einfachen Zielen für Cyberkriminelle.
3. Compliance-Probleme: Viele regulatorische Standards (wie DSGVO oder HIPAA) erfordern den Betrieb unterstützter Software, was mit dem Windows 10 Support-Ende nicht mehr gegeben ist.

Migration: Optionen und Risiken

Wenn Sie noch Windows 10 in Ihrer Umgebung nutzen, haben Sie nun drei Optionen:

• Option 1: Migration zu Windows 11: Dies ist der empfohlene Pfad. Nutzen Sie diesen Patchday als letzten Anstoß für die Planung und den Rollout von Windows 11.
• Option 2: Extended Security Updates (ESU): Für Organisationen, die nicht rechtzeitig migrieren können, bietet Microsoft kostenpflichtige ESU-Lizenzen an. Diese stellen Sicherheitsupdates für einen begrenzten Zeitraum bereit, sind aber keine langfristige Lösung.
• Option 3: Risiko akzeptieren (nicht empfohlen): Das Gerät wird im Grunde zu einer „Zeitbombe“ in Ihrem Netzwerk. Dies sollte unter allen Umständen vermieden werden.

Abschied von Exchange: End of Support für 2016 und 2019

Parallel zum Windows 10 Support-Ende erreichen auch Microsoft Exchange Server 2016 und 2019 das Ende ihres Mainstream-Supports. Während es für Exchange 2016 und 2019 Übergangsfristen für den Extended Support geben mag, ist die Botschaft klar: Die Migration auf eine aktuellere Version oder in die Cloud (Exchange Online) muss beschleunigt werden.

Welche Risiken bestehen jetzt?

Exchange Server sind historisch gesehen die kritischsten, oft angegriffenen On-Premise-Komponenten in Unternehmensnetzwerken.

• Angriffsziel Nummer 1: Ungesicherte Exchange Server sind die primären Angriffsvektoren für Ransomware und Datenexfiltration.
• Keine neuen Features/Fixes: Nach dem EoS wird es schwieriger, nicht sicherheitsrelevante Probleme zu beheben, und die Plattform veraltet in Bezug auf moderne Sicherheitsstandards.

Die notwendigen Migrationspfade

Für alle, die noch Exchange Server End of Support-Versionen betreiben, ist die einzige sichere Strategie die Migration:

1. Empfohlen: Wechsel zu Exchange Online (Microsoft 365): Dies bietet die höchste Sicherheit und Verfügbarkeit, da Microsoft das Patch Management übernimmt.
2. On-Premise Upgrade auf Exchange 2023/2024: Halten Sie Ihre Infrastruktur auf dem neuesten Stand. Achten Sie auf die neuesten Systemanforderungen und Architekturänderungen.

Die Oktober 2025 Patch Tuesday Sicherheitsupdates

Nachfolgend finden Sie die vollständige Liste der behobenen Sicherheitslücken in den Patch Tuesday-Updates vom Oktober 2025.

Der Beitrag 2025-10 Patchday erschien zuerst auf Grams IT - Blog.

Der zweite Dienstag im Monat ist für Systemadministratoren und IT-Sicherheitsexperten traditionell ein Tag der erhöhten Wachsamkeit – der Patchday. Dieses Ritual, das im Jahr 2003 von Microsoft eingeführt wurde, ist weit mehr als nur eine Routine; es ist eine entscheidende Maßnahme, um die digitale Infrastruktur vor ständigen Bedrohungen zu schützen. Der Patchday im September 2025 bestätigt diese Dringlichkeit eindrucksvoll. Mit insgesamt 81 behobenen Sicherheitslücken, darunter zwei Zero-Day-Schwachstellen, die bereits aktiv ausgenutzt werden, signalisiert Microsoft, dass sofortiges Handeln erforderlich ist.

Für jeden, der für die Sicherheit von IT-Systemen verantwortlich ist, ist es unerlässlich, die Details dieser Updates zu verstehen und einen klaren Plan für die Implementierung zu haben. In diesem umfassenden Guide analysieren wir die wichtigsten Aspekte des Patchday im September 2025, stellen Ihnen eine detaillierte Checkliste für die Systemadministration zur Verfügung und geben Ihnen wertvolle Tipps für ein effektives und nachhaltiges Patch-Management. Verlassen Sie sich nicht auf die bloße Hoffnung, dass alles gut geht; übernehmen Sie die Kontrolle über Ihre Netzwerksicherheit und schützen Sie Ihre kritischen Assets.

Eine detaillierte Analyse des Patchday September 2025

Die Anzahl der Fehler in jeder Schwachstellenkategorie ist unten aufgeführt:

• 41 Schwachstellen zur Erhöhung von Berechtigungen
• 2 Schwachstellen zur Umgehung von Sicherheitsfunktionen
• 22 Schwachstellen zur Remote-Codeausführung
• 16 Schwachstellen zur Offenlegung von Informationen
• 3 Schwachstellen zum Denial-of-Service
• 1 Schwachstelle zum Spoofing

Ein Überblick über die verschiedenen Kategorien der behobenen Schwachstellen zeigt, dass Microsoft in nahezu allen Produktbereichen aktiv war:

• Windows-Komponenten: Behebung von Lücken in Windows Hyper-V, TCP/IP-Stack, GDI und dem NTFS-Dateisystem.
• Microsoft Office & Office-Komponenten: Patches für Excel, Word und SharePoint, die hauptsächlich das Risiko von Remote Code Execution minimieren.
• Entwicklungstools: Updates für Visual Studio und das .NET Framework.
• Weitere Produkte: Wichtige Korrekturen für Microsoft Edge (basierend auf Chromium), Azure und Microsoft Dynamics.

Die Zahlen im Überblick: Wie viele Schwachstellen wurden behoben?

Die Gesamtzahl von 81 Sicherheitslücken ist bemerkenswert. Eine Aufschlüsselung nach Kritikalität gibt einen klaren Einblick in die Prioritäten, die Sie setzen sollten:

• 20 als „kritisch“ eingestufte Schwachstellen: Diese Lücken sind die gefährlichsten. Sie können in der Regel ohne Benutzerinteraktion aus der Ferne ausgenutzt werden, um Code auf dem System auszuführen. Ein erfolgreicher Angriff könnte zur vollständigen Kompromittierung des Systems führen.
• 61 als „wichtig“ eingestufte Schwachstellen: Obwohl sie weniger schwerwiegend sind als kritische Lücken, stellen sie immer noch ein erhebliches Risiko dar. Ihre Ausnutzung könnte beispielsweise zu Informationslecks, Denial-of-Service (DoS)-Angriffen oder Privilegienerweiterungen führen. In der Praxis können auch „wichtige“ Schwachstellen das Einfallstor für spätere, komplexere Angriffe sein.

Die Tatsache, dass 20 Lücken als kritisch eingestuft wurden, unterstreicht die Notwendigkeit, Ihre Aufmerksamkeit sofort auf diese Updates zu lenken. Eine verzögerte Reaktion könnte Ihre Organisation erheblichen Risiken aussetzen.

Die gefährlichsten Schwachstellen und Zero-Days

Das wohl alarmierendste Detail des Patchday im September 2025 ist die Behebung von zwei Zero-Day-Schwachstellen, die bereits vor der Veröffentlichung der Patches aktiv ausgenutzt wurden. Eine Zero-Day-Lücke ist eine Schwachstelle, die der Softwarehersteller noch nicht kennt oder für die noch kein offizieller Patch existiert, während sie bereits von Angreifern ausgenutzt wird. Die sofortige Behebung dieser Lücken ist von höchster Priorität.

CVE-2025-55234 – Windows SMB-Sicherheitslücke zur Erhöhung von Berechtigungen

Die erste Zero-Day-Sicherheitslücke, CVE-2025-55234, ist ein schwerwiegender Fehler im Windows Server Message Block (SMB)-Protokoll im Zusammenhang mit Authentifizierungs-Relay-Angriffen. Er entsteht durch eine unsachgemäße Authentifizierung (CWE-287), die es Angreifern ermöglicht, legitime Anmeldedaten zwischen Diensten abzufangen und weiterzuleiten.

Das Problem besteht, weil SMB-Sitzungen ohne ordnungsgemäße Validierung des Authentifizierungskontexts eingerichtet werden können, wenn die SMB-Signierung und der erweiterte Schutz für die Authentifizierung nicht korrekt konfiguriert sind. Dadurch ist es möglich, Man-in-the-Middle-Relay-Angriffe zu starten, indem erfasste Authentifizierungsdaten weitergeleitet werden, um sich unbefugten Zugriff zu verschaffen.

Betroffene Systeme

• Windows Server (alle unterstützten Versionen)
• Windows Client (Windows 10, 11)

Angriffsdetails

• Angriffsvektor: Netzwerk
• Komplexität des Angriffs: gering
• Erforderliche Berechtigungen: keine
• Benutzerinteraktion: erforderlich

Die Schwachstelle hat einen CVSS-Basiswert von 8,8 (hoch) und einen temporären Wert von 7,7, basierend auf aktuellen mildernden Faktoren.

Ausnutzungsstatus

• In freier Wildbahn: Derzeit nicht beobachtet
• Öffentliche Bekanntgabe: Ja
• Microsoft-Ausnutzungsbewertung: Eher wahrscheinlich, basierend auf früheren SMB-Relay-Angriffsmustern

Risikoszenarien

Diese Schwachstelle wird in Kombination mit anderen Techniken deutlich gefährlicher:

1. Erster Zugriff: Kann mit Phishing kombiniert werden, um Benutzer dazu zu verleiten, sich mit einem bösartigen SMB-Server zu verbinden.
2. Seitliche Bewegung: Erfasste Anmeldedaten können im gesamten Netzwerk wiederverwendet werden, insbesondere in Umgebungen mit vielen Administratoren.
3. Privilegieneskalation: Die Weiterleitung der Authentifizierung von privilegierten Konten wie Domänenadministratoren kann einen hohen Zugriff gewähren.
4. NTLM-Relay: Es verstärkt bestehende NTLM-Relay-Angriffe, indem es einige aktuelle Schutzmaßnahmen umgeht.
5. Mehrstufige Angriffskette: Kann in einer breiter angelegten Kampagne eingesetzt werden: Phishing, SMB-Relay, Diebstahl von Anmeldedaten, laterale Bewegung und Datenexfiltration.

Mögliche Auswirkungen

• Unternehmensumgebungen: Die meisten mittleren bis großen Unternehmen, die Active Directory und Windows Server verwenden
• Kritische Sektoren: Behörden, Gesundheitswesen, Finanzinstitute und andere mit weit verbreiteter Windows-Infrastruktur
• KMUs: Oft anfällig aufgrund begrenzter Ressourcen für eine angemessene Absicherung von KMUs

Dies ist eine bekannte, aber nach wie vor sehr effektive Technik. Ihre Beständigkeit ist auf mehrere Faktoren zurückzuführen:

• SMB ist nach wie vor tief in Unternehmensumgebungen verankert
• Viele Unternehmen haben Schwierigkeiten, eine Absicherung durchzusetzen, ohne bestehende Arbeitsabläufe zu stören
• Relay-Angriffe sind oft erfolgreich, da sie echte Anmeldedaten nutzen, um die Authentifizierung zu umgehen
• Hohes Potenzial für die Eskalation von Berechtigungen in Systemen mit vielen Administratoren

Microsoft hat diese CVE zwar in erster Linie zur Unterstützung von Audits veröffentlicht, sie macht jedoch deutlich, dass Authentifizierungs-Relays auch im Jahr 2025 ein echtes Problem darstellen. Unternehmen mit komplexen Infrastrukturen müssen bei der Anwendung von SMB-Hardening ein Gleichgewicht zwischen Sicherheits- und Betriebsanforderungen finden. Der CVSS-Score von 8,8 spiegelt die Schwere wider, obwohl die Notwendigkeit von Benutzerinteraktion und Netzwerkzugang das Angriffsfenster einschränkt.

CVE-2024-21907 – Newtonsoft.Json-Sicherheitslücke aufgrund außergewöhnlicher Bedingungen

Diese Zero-Day-Sicherheitslücke steht im Zusammenhang mit einer älteren CVE, CVE-2024-21907, die Newtonsoft.Json (auch bekannt als Json.NET) betrifft, eine der am häufigsten verwendeten JSON-Serialisierungsbibliotheken im .NET-Ökosystem. Das Problem liegt darin, wie die Bibliothek Ausnahmebedingungen während der Deserialisierung behandelt, insbesondere in der Methode JsonConvert.DeserializeObject.

Die Sicherheitslücke wird durch die rekursive Verarbeitung von manipulierten JSON-Daten verursacht, die einen unbegrenzten Stack-Verbrauch auslösen und zu einer StackOverflowException führen kann. Der Parser überprüft die Tiefe nicht ordnungsgemäß und behandelt Rekursion nicht richtig, wenn er mit bestimmten bösartigen JSON-Strukturen arbeitet. Infolgedessen verarbeitet er tief verschachtelte Payloads ohne Einschränkung und erschöpft den Aufrufstapel.

Betroffene Systeme:

SQL Server-Instanzen, die anfällige Newtonsoft.Json-Komponenten enthalten

Angriffsdetails:

• Angriffsvektor: Netzwerkbasiert (wahrscheinlich AV:N)
• Angriffskomplexität: Gering (wahrscheinlich AC:L)
• Erforderliche Berechtigungen: Keine (wahrscheinlich PR:N)

CVSS-Übersicht:

Es wird keine formale CVSS-Bewertung angegeben, aber basierend auf ähnlichen Fällen liegt die Basisbewertung wahrscheinlich bei etwa 7,5 (hoch), wobei die Hauptwirkung aufgrund von Denial-of-Service auf die Verfügbarkeit entfällt.

Ausnutzungsstatus:

• Derzeit nicht in freier Wildbahn ausgenutzt
• Öffentlich bekannt gegeben
• Im CVE-Bericht als „Ausnutzung weniger wahrscheinlich” bewertet

Trotz ihrer Einfachheit kann diese Schwachstelle in komplexen Angriffsszenarien eine ernsthafte Rolle spielen:

1. API-fokussierte DoS-Angriffe: Ein Angreifer könnte kritische API-Endpunkte, die Newtonsoft.Json zum Parsen verwenden, zum Absturz bringen.
2. Störung von Microservices: In verteilten Systemen kann die Abschaltung eines anfälligen Dienstes zu Ausfällen in abhängigen Diensten führen.
3. Verstärkt durch Umgehung der Ratenbegrenzung: In Kombination mit Techniken zur Umgehung der Ratenbegrenzung könnte die Auswirkung des Denial-of-Service-Angriffs erheblich größer sein.
4. Verwendung mit Authentifizierungsumgehung: In Kombination mit einer Authentifizierungsumgehungsschwachstelle könnten Angreifer interne APIs angreifen, die sensible Vorgänge ausführen.
5. Deckung für andere Angriffe: Der Denial-of-Service-Effekt könnte von anderen laufenden Exploits ablenken.

Newtonsoft.Json wird weltweit in Millionen von Anwendungen verwendet. Mit über 40 Millionen NuGet-Downloads ist seine Verbreitung enorm. Das macht dies zu einem hochriskanten Problem, auch wenn es derzeit als weniger wahrscheinlich eingestuft wird, dass es ausgenutzt wird.

Einige wichtige Punkte, die diese Schwachstelle besonders schwerwiegend machen:

1. Newtonsoft.Json ist in der .NET-Welt nahezu universell verbreitet.
2. Der Exploit ist einfach zu erstellen und erfordert nur eine tief verschachtelte JSON-Nutzlast.
3. Das Ergebnis ist eine vollständige Unterbrechung des Dienstes, da eine StackOverflowException den Prozess zum Absturz bringt.
4. Die Erkennung ist schwierig. Die meisten WAFs und API-Gateways erkennen diese Art von Payload nicht.

Das Risiko wird dadurch verschärft, dass viele Unternehmen möglicherweise nicht wissen, dass sie anfällige Versionen verwenden, insbesondere wenn Newtonsoft.Json als transitive Abhängigkeit eingebunden ist. Der SQL Server-Aspekt erhöht die Komplexität zusätzlich, da Datenbankteams in der Regel keine Probleme im Zusammenhang mit der JSON-Parsing überwachen.

Jeder dieser Patches schließt potenziell gefährliche Einfallstore für Angreifer. Die Vielfalt der betroffenen Produkte unterstreicht die Wichtigkeit eines ganzheitlichen Patch-Managements, das nicht nur Windows-Betriebssysteme, sondern die gesamte Microsoft-Softwarelandschaft umfasst.

Die Sicherheitsupdates vom Patch Tuesday im September 2025

Nachfolgend finden Sie die vollständige Liste der behobenen Sicherheitslücken in den Updates vom Patch Tuesday im September 2025.

Der Beitrag 2025-09 Microsoft Patchday erschien zuerst auf Grams IT - Blog.

Stellen Sie sich vor, Sie kämpfen seit fast zwei Jahren mit einem hartnäckigen Problem auf Ihren Windows Server 2012 bis 2022-Systemen, das die Funktionalität kritischer Anwendungen beeinträchtigt. Genau das war die Realität für viele IT-Administratoren, die mit einem bestimmten Active Directory-Fehler zu kämpfen hatten. Doch das Warten hat ein Ende: Microsoft hat endlich einen Out-of-Band-Patch für dieses seit 2022 offene Problem veröffentlicht. In diesem Blogbeitrag tauchen wir tief in das Problem ein, erklären, warum der OOBE .NET Patch so wichtig ist, und führen Sie Schritt für Schritt durch die Installation.

Das unsichtbare Problem: Was steckte hinter dem Windows Server 2022-Bug?

Der Fehler, der die IT-Welt seit der Einführung von Windows Server 2022 beschäftigt hat, war subtil, aber weitreichend. Er betraf insbesondere Anwendungen, die Informationen über Active Directory-Gesamtstrukturvertrauensstellungen nutzen, was in vielen komplexen Unternehmensnetzwerken der Standard ist. Seit der Veröffentlichung des Oktober-Updates 2022 hatten Administratoren mit unerwarteten Fehlern zu kämpfen, wenn diese Anwendungen versucht haben, solche Informationen zu verarbeiten.

Das Problem: Anwendungen, die Informationen von einer Active Directory-Gesamtstrukturvertrauensstellung abrufen, haben unter bestimmten Bedingungen Fehler gemeldet.

Dieses Verhalten konnte zu Dienstausfällen, Fehlfunktionen von Unternehmensanwendungen und erheblichen Störungen im Betriebsablauf führen. Trotz der weitreichenden Auswirkungen und des gemeldeten Problems gab es lange Zeit keine offizielle Lösung seitens Microsoft, was bei IT-Experten für Frustration sorgte. Eine offizielle Bestätigung und weitere Details zum Problem finden Sie in der offiziellen Dokumentation von Microsoft.

Warum ein OOBE-Patch (Out-of-Band)?

Viele fragen sich, warum Microsoft für dieses Problem einen sogenannten Out-of-Band-Patch (OOBE-Patch) veröffentlicht hat und nicht auf den nächsten planmäßigen Patch Tuesday gewartet hat. Ein Out-of-Band-Patch ist ein Update, das außerhalb des regulären monatlichen Release-Zyklus veröffentlicht wird. Dies geschieht in der Regel, wenn eine kritische Sicherheitslücke oder ein weit verbreiteter, geschäftskritischer Fehler behoben werden muss.

Die Entscheidung für einen OOBE .Net Patch unterstreicht die Schwere des Problems und das Bedürfnis, eine schnelle Lösung für betroffene Unternehmen bereitzustellen. Normale Updates werden monatlich getestet und ausgerollt, was zu lange gedauert hätte, um die seit fast zwei Jahren bestehenden Probleme zu beheben.

KB5037021: Der Patch, der die Wende bringt

Das lang ersehnte Update, das die Fehler behebt, trägt die Kennung KB5037021. Dieses kumulative Update wurde speziell für die betroffenen Windows Server 2022-Versionen entwickelt und adressiert das zugrunde liegende Problem im Zusammenhang mit Active Directory-Forest-Trusts. Es schließt die Lücke, die die kritischen Fehler in .NET Framework-Anwendungen und anderen Diensten verursacht hat.

Das Update behebt:

• Fehler, die bei der Verarbeitung von Active Directory-Gesamtstrukturvertrauensinformationen aufgetreten sind.
• Probleme, die zum Absturz oder zur Fehlfunktion von Anwendungen geführt haben, welche diese Informationen nutzen.
• Fehlfunktionen im Zusammenhang mit dem .NET Framework, die in den betroffenen Server-Versionen auftraten.

Durch die Installation dieses Updates stellen Sie sicher, dass Ihre Systeme stabil laufen und die kritischen Dienste, die auf die Active Directory-Infrastruktur angewiesen sind, wieder reibungslos funktionieren.

So installieren Sie den OOBE .NET Patch

Die Installation des OOBE .NET Patch ist ein unkomplizierter Prozess, der jedoch sorgfältig durchgeführt werden sollte, um unnötige Risiken zu vermeiden.

1. Backup erstellen: Bevor Sie ein beliebiges Update installieren, sollten Sie immer eine aktuelle Sicherung Ihres Systems erstellen. Dies schützt Sie vor unerwarteten Problemen, falls die Installation fehlschlägt.
2. Manuelle Suche: Sie können das Update manuell über die Windows Update-Einstellungen auf Ihrem Server suchen und herunterladen. Stellen Sie sicher, dass Ihr System die neuesten Updates scannt.
3. Download und Installation: Wählen Sie das Update KB5037021 aus und starten Sie den Download und die Installation.
4. Neustart: Nach der Installation ist in der Regel ein Neustart des Servers erforderlich, um die Änderungen wirksam zu machen. Planen Sie diesen Neustart sorgfältig in Ihrer Wartungszeit ein.
5. Überprüfung: Überprüfen Sie nach dem Neustart die Systemereignisprotokolle und testen Sie die betroffenen Anwendungen, um sicherzustellen, dass das Problem behoben wurde.

Fazit: Mehr Stabilität und Sicherheit für Ihren Windows Server

Das Warten ist vorbei. Microsoft hat mit dem OOBE .NET Patch eine entscheidende Lösung für ein Problem geliefert, das Administratoren seit fast zwei Jahren behindert hat. Dieser Patch stellt die Stabilität und Sicherheit Ihrer Windows Server 2022-Umgebung wieder her und gewährleistet, dass kritische Active Directory-Anwendungen wieder ohne Fehlfunktionen laufen.

Die Veröffentlichung dieses Patches ist eine wichtige Erinnerung an die Notwendigkeit, Ihre Systeme stets auf dem neuesten Stand zu halten. Wenn Sie die Fehlerbehebung Windows Server 2022 erfolgreich durchführen möchten, sollten Sie keine Zeit verlieren und das Update so schnell wie möglich installieren.

Der Beitrag Ein 2 Jahre altes Problem gelöst? Der lang erwartete OOBE .NET Patch für Windows Server erschien zuerst auf Grams IT - Blog.