Ein Rekordjahr nimmt Formen an
Microsoft hat am vergangenen Dienstag die Updates für den April 2026 veröffentlicht und damit gleich 169 Sicherheitslücken in seiner Produktpalette geschlossen. Damit ist der aktuelle Patch Tuesday der zweitgrößte in der Geschichte des Unternehmens – lediglich im Oktober 2025 wurden mit 183 Lücken noch mehr Schwachstellen auf einmal behoben.
Die Aufschlüsselung der Schweregrade liest sich wie ein Who-is-Who der IT-Gefahren: 157 Lücken sind als „Important“ eingestuft, acht als „Critical“, drei als „Moderate“ und eine als „Low“. Besonders auffällig ist die Verteilung der Angriffsvektoren: Mit 93 Fällen machen Privilege Escalation-Schwachstellen rekordverdächtige 57 Prozent aller in diesem Monat behobenen CVEs aus. Remote Code Execution (RCE), einst der absolute Schrecken jeder IT-Abteilung, fiel auf nur 12 Prozent zurück.
Satnam Narang von Tenable bringt es auf den Punkt: „Mit diesem Tempo ist 2026 auf dem besten Weg, die Marke von 1.000 Patch-Tuesday-CVEs pro Jahr zur neuen Normalität zu machen.“ Diese schiere Masse an Patches birgt ein gewaltiges Problem für IT-Administratoren: Patch-Müdigkeit und Ressourcenknappheit führen unweigerlich zu Verzögerungen bei der Bereitstellung entscheidender Updates.
Der aktive Zero-Day: CVE-2026-32201
Unter den 169 Lücken befindet sich eine Schwachstelle, die zum Zeitpunkt des Patches bereits aktiv in the wild ausgenutzt wurde: CVE-2026-32201. Dabei handelt es sich um eine Spoofing-Lücke in Microsoft SharePoint Server mit einem CVSS-Score von 6.5.
Die Lücke entsteht durch eine fehlerhafte Eingabevalidierung (Improper Input Validation). Sie ermöglicht es einem unbefugten Angreifer, über ein Netzwerk Spoofing-Angriffe durchzuführen. Wie Mike Walters von Action1 erklärt, können Angreifer dadurch manipulieren, wie Informationen Nutzern präsentiert werden. Sie können vertrauenswürdige Inhalte oder Oberflächen fälschen, um Benutzer dazu zu bringen, schädliche Links zu klicken oder Malware herunterzuladen. Obwohl die direkte Auswirkung auf die Datenbegrenzt ist, ist die Täuschung der Nutzer ein mächtiges Werkzeug für weiterführende Angriffe.
Kurios: Die Lücke wurde intern von Microsoft entdeckt. Dennoch ist sie bereits im Umlauf. Wer genau dahintersteckt und wie großflächig die Angriffe sind, ist derzeit noch unklar. Die US-Behörde CISA hat CVE-2026-32201 aufgrund der aktiven Ausnutzung umgehend in ihren Known Exploited Vulnerabilities (KEV) Katalog aufgenommen. Bundesbehörden müssen die Lücke bis zum 28. April 2026 schließen – eine Vorgabe, die für private Unternehmen als dringende Handlungsempfehlung dienen sollte.
Das kritische VPN-Risiko: CVE-2026-33824
Während der SharePoint-Zero-Day durch Social Engineering-Gefahren besticht, gibt es eine weitere Lücke, die aus rein technischer Sicht weitaus verheerender sein dürfte. CVE-2026-33824 ist eine Remote Code Execution-Schwachstelle in den Windows Internet Key Exchange (IKE) Service Extensions und kommt auf einen CVSS-Score von 9.8.
Adam Barnett von Rapid7 warnt: Die Lücke erfordert lediglich, dass ein Angreifer speziell gestaltete Pakete an einen Windows-Rechner sendet, auf dem IKEv2 aktiviert ist. Da IKE für die Aushandlung sicherer Tunnel – beispielsweise bei VPNs – zuständig ist, sind Systeme mit diesem Dienst zwangsläufig untrusted Networks ausgesetzt und in einem Pre-Authorization-Kontext erreichbar. Unauthentifizierte RCE-Schwachstellen bei modernen Windows-Systemen sind selten, aber extrem gefährlich.
Mike Walters ergänzt, dass die Kombination aus geringer Angriffskomplexität, fehlender benötigter Nutzerinteraktion und vollem Systemzugriff diese Lücke zum idealen Kandidaten für eine schnelle Weaponisierung macht. Internet-facing Systeme mit IKEv2 sind hier extrem gefährdet; ein erfolgreicher Angriff kann zur vollständigen Systemübernahme und lateralem Movement im Netzwerk führen.
Die unterschätzte Gefahr: Microsoft Defender Privilege Escalation
Eine weitere erwähnenswerte Lücke betrifft Microsofts hauseigenes Sicherheitswerkzeug. CVE-2026-33825 (CVSS 7.8) ist eine Privilege Escalation-Lücke in Microsoft Defender, die zum Zeitpunkt des Patches bereits öffentlich bekannt war. Die Schwachstelle entsteht durch fehlende granulare Zugriffskontrollen im Defender und ermöglicht es autorisierten Angreifern, lokal ihre Privilegien zu erweitern.
Hier liefert Microsoft jedoch eine gute Nachricht mit: Da sich Defender standardmäßig automatisch und häufig aktualisiert, ist kein Nutzereingreifen erforderlich. Wer Defender nicht deaktiviert hat, ist in der Regel bereits geschützt.
Fazit: Priorisierung ist alles
Der aktuelle Patch Tuesday zeigt einmal mehr, dass die bloße Anzahl an Schwachstellen IT-Teams überfordern kann, wenn nicht strikt priorisiert wird. Die 1000er-Marke pro Jahr wird 2026 Realität. Administratoren sollten sofort handeln: Priorität eins ist die Absicherung internet-facing Systeme mit aktiviertem IKEv2 (CVE-2026-33824), priorisiert auf Platz zwei folgt der SharePoint-Server (CVE-2026-32201) aufgrund der aktiven Ausnutzung. Hinzu kommen vier CVEs von Drittanbietern (AMD, Node.js, Windows Secure Boot, Git für Windows) sowie 78 behobene Lücken im Chromium-basierten Edge-Browser, die das Gesamtbild der Bedrohungslandschaft abrunden.
Quelle: The Hacker News
