Microsoft-Patchday: 167 Sicherheitslücken und zwei Zero-Day-Bedrohungen

Microsoft hat mit seinem monatlichen Sicherheitsupdate für April 2026 einen der umfangreichsten Patches seiner Geschichte ausgeliefert. Insgesamt 167 Schwachstellen wurden geschlossen, darunter zwei bereits aktiv ausgenutzte Zero-Day-Lücken und acht als kritisch eingestufte Fehler. Für IT-Administratoren bedeutet dies höchste Priorität bei der Installation.

Aktive Angriffe auf SharePoint und öffentlicher "BlueHammer"-Exploit

Die dringlichste Bedrohung ist CVE-2026-32201, eine Spoofing-Schwachstelle in Microsoft Office SharePoint Server. Unautorisierte Angreifer können bereits jetzt gefälschte Informationen in vertrauenswürdigen SharePoint-Umgebungen platzieren. Dies eröffnet Tür und Tor für ausgeklügelte Phishing-Angriffe und Datenmanipulation. Die US-Cybersicherheitsbehörde CISA hat die Lücke bereits in ihren Katalog bekannter, ausgenutzter Schwachstellen aufgenommen.

Angesichts der massiven Zunahme von gezielten Cyberangriffen auf Unternehmen wird proaktiver Schutz zur Pflicht. Erfahren Sie im kostenlosen E-Book, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen ohne teure Investitionen erfüllen. IT-Sicherheit stärken und Unternehmen schützen

Fast ebenso brisant ist CVE-2026-33825, ein Privilegien-Eskalationsfehler in Windows Defender, den Forscher "BlueHammer" tauften. Obwohl noch nicht massenhaft ausgenutzt, war der Exploit-Code bereits vor Veröffentlichung des Patches öffentlich verfügbar. Die Gefahr lokaler Angriffe war somit akut hoch. Sicherheitsexperten bestätigen, dass der öffentliche Exploit auf Systemen mit den April-Updates nicht mehr funktioniert.

Kritische Fernzugriffs-Lücken bedrohen Netzwerke

Acht als kritisch eingestufte Lücken ermöglichen größtenteils Remote Code Execution (RCE). Besonders heikel ist CVE-2026-33824, ein "Double-Free"-Fehler in der Windows Internet Key Exchange (IKE)-Erweiterung. Ein Angreifer könnte durch speziell präparierte Netzwerkpakete Code auf einem Windows-Rechner mit aktiviertem IKEv2 ausführen. Als vorübergehende Schutzmaßnahme raten Experten, den eingehenden Verkehr auf den UDP-Ports 500 und 4500 zu blockieren, sofern IKE nicht benötigt wird.

Eine weitere kritische RCE-Lücke (CVE-2026-32157) steckt im Remote Desktop Client. Hier muss sich ein autorisierter Nutzer mit einem bösartigen Server verbinden, der dann Code auf dem Client-Rechner ausführen kann. Auch das Windows TCP/IP-Protokoll ist betroffen: CVE-2026-33827, eine Race-Condition, könnte bei aktiviertem IPSec durch spezielle IPv6-Pakete zu RCE führen. Weitere kritische Patches betreffen das .NET Framework, Microsoft Office Word und Microsoft Power Apps.

Updates bringen Pflicht-Restarts und neue Funktionen

Die April-Updates sind obligatorische Sicherheitspakete für alle unterstützten Windows-Versionen. Für Windows 11 25H2 und 24H2 (Update KB5083769) sind sie besonders bedeutsam: Sie dienen als Hotpatch-Baseline für das zweite Quartal 2026 und erzwingen einen Systemneustart – selbst auf Geräten, die normalerweise Hotpatching unterstützen. Das Update behebt auch ein seit dem Frühjahr bekanntes Anmelde-Problem, das den Zugriff auf Microsoft-Konto-Apps wie Teams blockierte.

Für Windows-10-Nutzer im Extended Security Update (ESU)-Programm gibt es KB5082200. Der offizielle Support endete zwar bereits im November 2025, doch dieses fünfte ESU-Update bringt essentielle Sicherheitsfixes. Sowohl Windows 10 als auch 11 enthalten jetzt verbesserte Schutzmaßnahmen gegen Phishing-Angriffe mit RDP-Dateien. Der Remote Desktop Client zeigt nun alle Verbindungseinstellungen an, die standardmäßig deaktiviert sind, sowie eine Sicherheitswarnung vor dem Verbindungsaufbau.

Zu den nicht-sicherheitsrelevanten Neuerungen für Windows 11 gehören verbesserte Barrierefreiheit für den Narrator mit neuen Tastenkürzeln für Bildbeschreibungen. Die Smart App Control kann nun ohne Neuinstallation des Betriebssystems ein- und ausgeschaltet werden. Zudem unterstützt Windows 11 jetzt Monitor-Aktualisierungsraten von über 1000 Hz und bietet ein verbessertes Energiemanagement für native USB4-Verbindungen im Ruhemodus.

Während Microsoft die Sicherheit von Windows 11 stetig ausbaut, zögern viele Anwender noch mit dem Umstieg auf das aktuelle System. Dieser kostenlose Expertenreport zeigt Ihnen, wie der Wechsel ohne Risiko und Datenverlust gelingt, damit auch Sie von den neuesten Schutzfunktionen profitieren. Windows 11 Starterpaket jetzt kostenlos anfordern

Analyse: KI treibt Schwachstellen-Flut an

Die schiere Menge von 167 Patches bestätigt einen besorgniserregenden Trend: Die Patchdays werden immer umfangreicher. Sicherheitsforscher der Zero Day Initiative und von Trend Micro sehen einen klaren Grund: Der vermehrte Einsatz von Künstlicher Intelligenz (KI) in der Sicherheitsforschung hat die Entdeckung von Schwachstellen massiv beschleunigt. Für große Softwareanbieter wie Microsoft wird die Priorisierung und Behebung dieser Flut zur Herkulesaufgabe.

Das April-Update folgt auf ein hartes erstes Quartal für Microsoft: Allein im Januar wurden 112 neue CVEs gepatcht, im Februar sechs aktiv ausgenutzte Zero-Day-Lücken. Ein weiterer kritischer Prozess läuft im Hintergrund: Der Wechsel der Secure Boot-Zertifikate. Da die ursprünglichen Zertifikate von 2011 im Juni 2026 auslaufen, zeigt die Windows-Sicherheits-App nun farbige Statusanzeigen an. Sie informieren den Nutzer, ob das Gerät die neuen Zertifikate von 2023 erfolgreich erhalten hat – ein Prozess, der seit Monaten schrittweise erfolgt, um die Systemstabilität zu wahren.

Ausblick: Komplexe Lage für IT-Teams

Die Komplexität des April-Updates geht über Microsoft-Produkte hinaus. Diese Woche veröffentlichten auch andere große Anbieter wie Adobe (Notfallfix für eine Zero-Day-Lücke in Acrobat und Reader), Cisco, Ivanti und Fortinet kritische Sicherheitspatches. Einige dieser Schwachstellen, etwa in Cisco Secure Firewall oder Ivanti Endpoint Manager, weisen hohe CVSS-Scores auf und werden bereits aktiv ausgenutzt.

IT-Administratoren müssen sich auf weitere Secure Boot-Benachrichtigungen einstellen, da Microsoft im Mai 2026 in eine aggressivere Benachrichtigungsphase eintreten wird. Zudem beginnt mit diesem Release die zweite Bereitstellungsphase für Kerberos-Schutzmaßnahmen (CVE-2026-20833), die den Übergang von der veralteten RC4-Verschlüsselung zu stärkeren AES-SHA1-Standards für Domänencontroller vorantreibt. Angesichts von Installationsproblemen mit den März-Updates wird empfohlen, die Bereitstellung von KB5083769 und KB5082200 genau auf mögliche Fehler bei den Service-Stacks oder Systemneustarts zu überwachen.

de | boerse | 69154468 |