Mit den Mai-Updates schließt Microsoft zahlreiche Schwachstellen in Windows, Azure, Office, SharePoint, Dynamics und Copilot-Diensten. Besonders kritisch sind eine RCE-Lücke im Windows-DNS-Client und eine Netlogon-Schwachstelle auf Domain Controllern.
Der gestrige Microsoft-Patchday (12. Mai 2026) zählt zu den größeren Sicherheitsrunden der vergangenen Monate. Je nach Zählweise umfasst er rund 137 bis 138 Microsoft-Schwachstellen; einzelne Auswertungen kommen auf niedrigere Werte, wenn sie bestimmte Chromium-basierte Browserkorrekturen, Drittanbieter-Komponenten, bereits zuvor veröffentlichte Einträge oder produktübergreifende Zuordnungen anders zählen. Für Administratoren ist diese Differenz weniger wichtig als die praktische Priorisierung: Mehrere Lücken erlauben Remote Code Execution, mehrere betreffen zentrale Infrastrukturkomponenten, und einige Patches schließen Schwachstellen in Diensten, die tief in Entwicklungs-, Identitäts- und Geschäftsprozesse eingebunden sind.
Betroffen sind unter anderem Windows, Azure, Microsoft 365, Office, Word, SharePoint Server, Dynamics 365 On-Premises, Edge, Copilot-Komponenten, SQL Server, Visual Studio Code sowie zentrale Windows-Komponenten wie DNS, Netlogon, Hyper-V, TCP/IP, GDI, Graphics Component und Native WiFi Miniport Driver. Die Schwachstellentypen reichen von Remote Code Execution über Elevation of Privilege und Information Disclosure bis zu Spoofing, Denial of Service und Security Feature Bypass.
Stand 13. Mai 2026 lagen keine bestätigten Hinweise vor, dass die im Mai geschlossenen Schwachstellen bereits aktiv ausgenutzt wurden oder vor Veröffentlichung öffentlich bekannt waren. Das reduziert den unmittelbaren Alarmdruck, rechtfertigt aber kein Abwarten. Nach jedem Patchday vergleichen Angreifer alte und neue Binärdateien, analysieren geänderte Codepfade und entwickeln daraus Exploit-Ansätze. Besonders netzwerknahe Schwachstellen mit hoher CVSS-Bewertung wandern deshalb schnell von der Update-Meldung in Angriffswerkzeuge, Scanner und Erkennungsregeln.
Inhaltsverzeichnis
DNS-Client-Lücke im Fokus
Im Mittelpunkt steht CVE-2026-41096, eine kritische Remote-Code-Execution-Schwachstelle in Microsoft Windows DNS beziehungsweise im Windows-DNS-Client. Die Lücke erreicht einen CVSS-v3.1-Wert von 9,8. Technisch beschreibt Microsoft einen heap-basierten Buffer Overflow. Solche Fehler entstehen, wenn ein Programm Speicher auf dem Heap fehlerhaft verwaltet, Eingaben unzureichend begrenzt oder Daten über die reservierten Speichergrenzen hinaus schreibt. Im ungünstigen Fall beschädigt der Fehler Speicherstrukturen so, dass ein Angreifer eigenen Code zur Ausführung bringen kann.
Die Bewertung fällt so hoch aus, weil der Angriff über das Netzwerk erfolgen kann, keine Authentifizierung benötigt und keine Benutzerinteraktion voraussetzt. Ein Anwender muss also weder ein Dokument öffnen noch einen Link anklicken. Der relevante Auslöser ist eine speziell präparierte DNS-Antwort, die ein verwundbares Windows-System verarbeitet. Damit unterscheidet sich die Lücke deutlich von klassischen Client-Angriffen, die auf Phishing, Makros oder Dateivorschau angewiesen sind.
DNS ist in Windows-Umgebungen kein Randdienst. Fast jede Netzwerkkommunikation beginnt mit Namensauflösung: Zugriff auf interne Anwendungen, Cloud-Dienste, Webseiten, Paketquellen, E-Mail-Systeme, Domänencontroller, Softwareverteilung und Managementplattformen. Windows-Clients und Windows-Server stellen DNS-Anfragen regelmäßig und automatisch, auch ohne bewusstes Zutun des Nutzers. Eine Schwachstelle in diesem Pfad betrifft daher nicht nur Spezialserver, sondern potenziell breite Teile der Standardflotte.
Die Lücke bedeutet dennoch nicht, dass jeder Windows-Rechner ohne weitere Voraussetzungen direkt aus dem Internet übernommen werden kann. Ein Angreifer muss DNS-Antworten beeinflussen, einschleusen oder kontrollieren können. Realistische Szenarien sind ein bösartiger oder kompromittierter DNS-Resolver, eine Man-in-the-Middle-Position im Netz, manipulierte DHCP-Angaben, ein kompromittierter Router, eine unsichere WLAN-Umgebung, DNS-Spoofing in schlecht segmentierten Netzen oder die Kontrolle über Namensauflösung in einem bereits teilweise kompromittierten Standort. Besonders gefährdet sind mobile Geräte in fremden Netzen, Systeme in Gast-WLANs, Außenstellen mit schwacher Netztrennung und Umgebungen, in denen Clients beliebige Resolver verwenden dürfen.
Warum das für Windows-Umgebungen kritisch ist
Der Windows-DNS-Client läuft nicht im vollständigen SYSTEM-Kontext, sondern im Dienstkontext NetworkService. Das begrenzt den unmittelbaren Rechteumfang eines erfolgreichen Angriffs, macht die Schwachstelle aber nicht harmlos. NetworkService besitzt mehr Möglichkeiten als ein normaler Benutzerprozess, arbeitet mit Netzwerkidentität des Computers und kann als Einstiegspunkt für weitere Aktionen dienen. Ein Angreifer kann eine solche Ausführung mit Fehlkonfigurationen, bekannten lokalen Privilege-Escalation-Lücken, schwachen Dienstberechtigungen oder abgegriffenen Zugangsdaten kombinieren.
Für SOC-Teams zählt deshalb weniger die isolierte Frage, ob sofort vollständige Systemkontrolle entsteht. Entscheidend ist die Rolle der Lücke in einer Angriffskette. Remote Code Execution in einem ständig aktiven Basisdienst kann Initial Access liefern. Danach folgen in realen Angriffen häufig Rechteausweitung, Persistenz, Credential Access, Ausbreitung über administrative Freigaben, Missbrauch von Kerberos-Tickets, Zugriff auf Managementsysteme und laterale Bewegung in Richtung Domain Controller, Fileserver oder Cloud-Synchronisationsdienste.
Moderne Schutzmechanismen wie Address Space Layout Randomization, Control Flow Guard, Heap-Härtungen, Endpoint Detection and Response und Exploit-Mitigationen erschweren praktische Ausnutzung. Sie ersetzen den Patch nicht. Solche Schutzschichten verringern Eintrittswahrscheinlichkeit und Schadensausmaß, können aber fehlerhafte Speicherverarbeitung nicht zuverlässig neutralisieren. Außerdem untersuchen Angreifer nach Veröffentlichung eines Updates genau jene Codeänderungen, die den verwundbaren Pfad sichtbar machen.
Betroffen sind unterstützte Windows-Client- und Windows-Server-Ausgaben, darunter moderne Windows-11- und Windows-Server-Versionen. Unternehmen sollten die Lücke daher nicht als Spezialfall einzelner Rollen behandeln. Sie betrifft Clients, Terminalserver, virtuelle Desktops, Management-Server, Applikationsserver und gegebenenfalls isolierte Betriebsnetze. Gerade Systeme mit seltenen Wartungsfenstern benötigen eine explizite Entscheidung, weil ein nicht gepatchter Basisdienst mit jedem Netzwechsel und jeder DNS-Abfrage exponiert bleibt.
Weitere kritische Schwachstellen
Neben der DNS-Client-Lücke verdient CVE-2026-41089 höchste Aufmerksamkeit. Dabei handelt es sich um eine kritische Remote-Code-Execution-Schwachstelle in Windows Netlogon mit einem CVSS-v3.1-Wert von 9,8. Ursache ist ein stack-basierter Buffer Overflow. Netlogon unterstützt zentrale Authentifizierungs- und Domänenfunktionen in Active Directory. Besonders brisant ist der Zielkontext: Ein nicht authentifizierter Angreifer kann einen speziell präparierten Netzwerkrequest an einen Domain Controller senden und dort Codeausführung erreichen, sofern das System verwundbar bleibt.
Für klassische Windows-Domänen gehört CVE-2026-41089 deshalb in die höchste Patch-Priorität. Ein kompromittierter Domain Controller gefährdet nicht nur einen Server, sondern die Vertrauensbasis der gesamten Domäne: Benutzerkonten, Computerobjekte, Gruppenrichtlinien, Kerberos, Dienstkonten, Zertifikatsdienste und administrative Delegationen hängen direkt oder indirekt an Active Directory. Domain Controller sollten daher vor weniger kritischen Serverrollen gepatcht werden, sofern ein geordneter Betrieb mit Replikationsprüfung, Backup und Rollback-Plan gewährleistet ist.
Auffällig ist außerdem CVE-2026-42826 in Azure DevOps. Die Schwachstelle erreicht mit CVSS 10,0 den Maximalwert und betrifft die Offenlegung sensibler Informationen gegenüber nicht autorisierten Akteuren. Für gehostete Azure-DevOps-Dienste hat Microsoft die Schwachstelle serverseitig adressiert; Kunden installieren dafür in der Regel keinen lokalen Windows-Patch. Trotzdem bleibt die Prüfung wichtig, weil Entwicklungsplattformen häufig Quellcode, Build-Pipelines, Artefakte, Projektinformationen, Service Connections, Tokens und Secrets enthalten. Unternehmen sollten Audit-Logs, Berechtigungen, Pipeline-Variablen, Secret-Stores und zuletzt verwendete Zugriffstoken kontrollieren.
Im Cloud- und Managed-Service-Umfeld kommen kritische Remote-Code-Execution-Schwachstellen in Azure Managed Instance for Apache Cassandra hinzu. CVE-2026-33109 und CVE-2026-33844 erreichen hohe Bewertungen von 9,9 beziehungsweise 9,0. Auch verwaltete Datenbankdienste gehören damit in die Sicherheitsbetrachtung, selbst wenn Microsoft einzelne Gegenmaßnahmen serverseitig umsetzt. Teams sollten Service-Mitteilungen, Wartungsfenster, Netzwerkzugriffe, private Endpunkte, Rollenmodelle und Datenabflüsse prüfen, statt Managed Services pauschal aus Patchday-Prozessen auszuklammern.
Für Unternehmen mit Microsoft Dynamics 365 On-Premises ist CVE-2026-42898 relevant. Die Schwachstelle erreicht CVSS 9,9 und kann unter bestimmten Bedingungen authentifizierten Angreifern mit geringen Rechten Codeausführung ermöglichen. On-Premises-Geschäftsanwendungen enthalten häufig Kunden-, Vertrags-, Auftrags-, Finanz- oder Servicedaten und besitzen Schnittstellen zu Identitätsdiensten, Datenbanken, Dokumentenmanagement und E-Mail-Systemen. Deshalb sollten Dynamics-Instanzen nicht hinter Client-Updates zurückfallen, nur weil der Angriff eine Authentifizierung voraussetzt.
Office und Word sind ebenfalls betroffen. Mehrere kritische RCE-Schwachstellen betreffen Office-Komponenten; Word ist mit mehreren kritischen Einträgen vertreten. Manipulierte Dokumente bleiben ein etablierter Angriffsweg für Phishing und Initial Access. Vorschau- und Handler-Komponenten können bei bestimmten Dokument-Schwachstellen Teil des Angriffspfads sein; das konkrete Risiko hängt aber von betroffener Komponente, Dateityp, Clientkonfiguration und Schutzmodus ab. Protected View, Makro-Richtlinien, Attack Surface Reduction Rules und restriktives Attachment-Handling bleiben wichtige Schutzschichten, ersetzen aber keine Sicherheitsupdates.
Weitere Lücken betreffen unter anderem Windows Hyper-V, GDI, Graphics Component, Native WiFi Miniport Driver und TCP/IP. Nicht jede dieser Schwachstellen besitzt dieselbe Priorität wie DNS-Client oder Netlogon. Zusammen zeigen sie aber die Breite des Patchdays: Angriffsflächen entstehen auf Clients, Servern, Virtualisierungshosts, Grafikpfaden, Netzwerkstacks und Treibern. Patch-Management darf deshalb nicht nur „Internet-exponierte Server“ betrachten, sondern muss Endpunkte, administrative Workstations, Infrastrukturserver und Spezialrollen gleichermaßen erfassen.
| Priorität | Systeme | Begründung | Prüfung nach Update |
|---|---|---|---|
| Sehr hoch | Domain Controller | CVE-2026-41089 betrifft Netlogon und damit eine domänenkritische Rolle. | Patchstand, Neustart, AD-Replikation, Ereignisprotokolle, Authentifizierungstests. |
| Sehr hoch | Windows-Clients und Windows-Server | CVE-2026-41096 betrifft DNS-Verarbeitung in einem breit genutzten Basisdienst. | Buildnummer, installierte kumulative Updates, Neustartstatus, DNS-Resolver-Konfiguration. |
| Hoch | SharePoint Server On-Premises | RCE-Risiken treffen häufig geschäftskritische Portale mit hohen internen Berechtigungen. | Farm-Patchstand, Konfigurationsassistent, Health Analyzer, Such- und Workflow-Funktionen. |
| Hoch | Dynamics 365 On-Premises | Geschäftsanwendungen enthalten hochwertige Daten und besitzen viele Schnittstellen. | Versionsstand, Dienststatus, Anwendungslogs, Authentifizierung, Kernprozesse. |
| Hoch | Office- und Word-Installationen | Dokumentangriffe bleiben ein realistischer Initial-Access-Pfad. | Updatekanal, Office-Build, Protected View, Makro- und ASR-Richtlinien. |
| Kontextabhängig hoch | Azure DevOps und Managed Services | Einzelne Fixes erfolgen serverseitig, dennoch können Secrets, Tokens und Pipelines betroffen sein. | Service Health, Audit-Logs, Token-Rotation, Pipeline-Berechtigungen, Secret-Nutzung. |
KI-Agenten und Schwachstellensuche
Auffällig ist die wachsende Rolle moderner Analyseverfahren. Automatisierte Schwachstellensuche, KI-gestützte Mustererkennung und agentische Security-Workflows können Codepfade, Konfigurationen und komplexe Angriffsketten schneller prüfen als rein manuelle Ansätze. Das verändert die Geschwindigkeit, mit der Hersteller Fehler finden, aber auch die Geschwindigkeit, mit der Angreifer nach einem Patchday verwundbare Stellen nachvollziehen können.
Auch Copilot- und Microsoft-365-bezogene Komponenten sind Teil dieses Patchdays, darunter Copilot Chat, Microsoft 365 Copilot, GitHub Copilot im Zusammenspiel mit Visual Studio Code sowie Copilot for Desktop und Android. Die betroffenen Schwachstellentypen umfassen unter anderem Informationslecks, Spoofing, Elevation of Privilege und Security Feature Bypass. Das ist keine pauschale Aussage gegen KI-Assistenzdienste. Es zeigt, dass solche Dienste inzwischen reguläre Bestandteile der Microsoft-Angriffsfläche sind und in Asset-Inventar, Berechtigungsmodell, Logging, DLP, Tenant-Härtung und Incident-Response-Prozesse gehören.
Was Administratoren jetzt prüfen sollten
Für Administratoren sollte der Patchday nicht als reine Routineaufgabe laufen. Entscheidend ist eine priorisierte, überprüfbare Bereitstellung. Windows Update, WSUS, Microsoft Configuration Manager, Intune, Autopatch oder andere Patch-Management-Systeme dürfen nicht nur „Update angestoßen“ melden. Sie müssen erfolgreiche Installation, ausstehenden Neustart, tatsächlichen Buildstand und Compliance nach Gerätegruppe bestätigen. Besonders bei kumulativen Windows-Updates zählt am Ende der erreichte Patchstand, nicht der Downloadstatus.
Sehr hoch zu priorisieren sind Domain Controller wegen Netlogon, Windows-Clients und Windows-Server wegen der DNS-Lücke, exponierte oder geschäftskritische SharePoint-Server, Dynamics-365-On-Premises-Instanzen sowie Office- und Word-Installationen auf Arbeitsplatzsystemen. Azure- und Managed-Service-Konfigurationen sollten ebenfalls geprüft werden, auch wenn einzelne Cloud-Fixes serverseitig erfolgen. Für gehostete Dienste verschiebt sich die Aufgabe von „Patch installieren“ zu „Service-Mitteilung prüfen, Logs auswerten, Berechtigungen kontrollieren und Secrets absichern“.
Neustarts müssen eingeplant und nachverfolgt werden. Viele Windows-Sicherheitsupdates werden erst nach einem Reboot vollständig wirksam. Ein Server, der ein kumulatives Update installiert, aber den Neustart nicht abgeschlossen hat, kann weiter mit verwundbarem Code arbeiten oder in einem inkonsistenten Zustand verharren. Patch-Reports sollten daher immer eine eigene Spalte für „Pending reboot“ oder „Neustart erforderlich“ enthalten.
- Patchstand prüfen: Windows-Build, kumulatives Update und Installationsdatum über Inventarsystem, Intune, Configuration Manager oder PowerShell abgleichen.
- Neustartstatus prüfen: Geräte mit ausstehendem Reboot separat markieren und in ein verbindliches Wartungsfenster bringen.
- Domain Controller priorisieren: Vor dem Update System-State-Backups, Replikationszustand und freie Speicherkapazität prüfen; nach dem Neustart Authentifizierung und Replikation testen.
- Clients außerhalb des Firmennetzes erfassen: VPN-, Intune-, Autopatch- oder Update-for-Business-Reports auf mobile Geräte, lange offline Systeme und Fehlercodes filtern.
- Ausnahmen dokumentieren: Jedes verschobene System benötigt Verantwortlichen, Risikoakzeptanz, Kompensationsmaßnahme und neues Zieldatum.
Für die DNS-Client-Schwachstelle empfiehlt sich zusätzlich eine Prüfung der DNS-Infrastruktur. Unternehmen sollten sicherstellen, dass Clients keine unnötigen, unbekannten oder unsicheren Resolver verwenden. Manipulationen von DNS-Antworten lassen sich durch kontrollierte interne Resolver, DHCP-Härtung, Netzwerksegmentierung, Egress-Regeln, VPN-Zwang für mobile Geräte und Monitoring erschweren. Besonders mobile Clients, Entwicklernotebooks und Systeme in fremden Netzen sollten schnell aktualisiert werden, weil sie häufiger DNS-Antworten außerhalb kontrollierter Unternehmenssegmente erhalten.
- Resolver-Inventar erstellen: DHCP-Scopes, statische Adapterkonfigurationen, VPN-Profile, Serverrollen und Gruppenrichtlinien auf eingetragene DNS-Server prüfen.
- Unbekannte Resolver blockieren: Ausgehenden DNS-Verkehr zu nicht freigegebenen Zielen per Firewall, Secure Web Gateway oder DNS-Proxy unterbinden.
- Split-Tunneling bewerten: Mobile Clients sollten sensible Namensauflösung nicht unkontrolliert über Heimrouter, Hotelnetze oder öffentliche Resolver abwickeln.
- DNS-Logging aktivieren: Ungewöhnliche Antwortmuster, neue Resolver, NXDOMAIN-Spitzen, verdächtige Domains und kurze TTL-Werte für kritische Systeme auswerten.
- Segmentgrenzen testen: Clients in Gast-, Produktions- und Verwaltungsnetzen dürfen DNS nur zu vorgesehenen Resolvern senden.
SOC-Teams sollten DNS-Logging, verdächtige Netzwerkverbindungen und auffällige Prozessstarts im Kontext von NetworkService beobachten. Relevante Signale sind neu auftretende Kindprozesse ungewöhnlicher Dienste, Verbindungen zu unbekannten Hosts unmittelbar nach DNS-Antworten, EDR-Meldungen zu Speicherbeschädigung, Abstürze DNS-naher Windows-Dienste, ungewöhnliche Resolver-Wechsel und plötzlich veränderte Namensauflösung für interne Ziele. Einzelne Signale beweisen keine Ausnutzung, verdienen aber in Kombination mit ungepatchten Systemen eine schnelle Untersuchung.
Bei Domain Controllern sollte die Validierung über den reinen Update-Status hinausgehen. Nach dem Patchen müssen Anmeldungen, Kerberos-Ticket-Ausstellung, Gruppenrichtlinienverarbeitung, SYSVOL-Erreichbarkeit, DNS-Registrierung der Domänencontroller, Zeitdienst und AD-Replikation funktionieren. Geeignete Prüfungen umfassen Replikationsstatus, Ereignisprotokolle für Directory Services und System, Testanmeldungen mit Standardbenutzer und Administrator, Zugriff auf Domänenfreigaben sowie Abgleich der DC-Versionen über alle Standorte.
Meroth IT-Service ist Ihr lokaler IT-Dienstleister in Frankfurt am Main für kleine Unternehmen, Selbstständige und Privatkunden
Kostenfreie Ersteinschätzung Ihres Anliegens?
Werbung
(**) UVP: Unverbindliche Preisempfehlung
Preise inkl. MwSt., zzgl. Versandkosten