Microsoft startet das Jahr 2026 mit einem umfangreichen Sicherheitsrelease: Im Rahmen des ersten Patch Tuesday werden 114 Schwachstellen in Windows‑ und Office‑Produkten behoben. Darunter befinden sich drei 0‑Day-Schwachstellen, eine davon bereits aktiv ausgenutzt, sowie acht als kritisch eingestufte Lücken, die Remote Code Execution (RCE) oder Privilegienerweiterung ermöglichen. Für Unternehmen mit Windows‑Infrastruktur ist dieses Update-Paket sicherheitsstrategisch hochrelevant.
Windows-Sicherheitsupdates im Januar 2026: Verteilung der 114 Schwachstellen
Nach Microsofts Einstufung entfallen 57 behobene Schwachstellen auf Privilegienerweiterung, 22 auf Remote Code Execution, weitere 22 auf Informationslecks, 5 auf Spoofing, 3 auf das Umgehen von Sicherheitsmechanismen und 2 auf Denial-of-Service. Diese Verteilung spiegelt einen Trend wider, den Branchenberichte wie der Verizon Data Breach Investigations Report seit Jahren beschreiben: Angreifer kombinieren zunächst „leise“ Angriffsvektoren mit anschließender Privilegienerweiterung, um sich dauerhaft in Systemen festzusetzen und Ransomware- oder Spionagekampagnen durchzuführen.
0-Day CVE-2026-20805 im Desktop Window Manager: Speicherleck als Einfallstor
Im Fokus steht die aktiv ausgenutzte 0‑Day-Schwachstelle CVE-2026-20805 mit einem CVSS-Score von 8,1. Betroffen ist der Desktop Window Manager (DWM), eine zentrale Windows-Komponente für die Darstellung der Benutzeroberfläche. Die Lücke ermöglicht es, Speicherinhalte auszulesen, die mit einem entfernten ALPC-Port verknüpft sind. Für die Ausnutzung genügt lokaler Zugriff durch einen angemeldeten Benutzer; zusätzliche Rechte oder Benutzerinteraktionen sind nicht erforderlich.
Aus technischer Sicht handelt es sich um eine Informations off disclosure-Schwachstelle, die unter anderem Adressinformationen und Layouts des Prozessspeichers preisgeben kann. Solche Details werden von Angreifern gezielt genutzt, um Schutzmechanismen wie Address Space Layout Randomization (ASLR) zu umgehen und andere Exploits deutlich stabiler und zuverlässiger zu machen.
Rolle von Informationslecks in modernen Angriffsketten
Laut Microsoft kann ein lokaler, autorisierter Benutzer mit CVE-2026-20805 auf Daten zugreifen, die eigentlich strikt abgeschirmt sein sollten. Die Trend Micro Zero Day Initiative geht davon aus, dass die Schwachstelle in gezielten Angriffen als Baustein komplexer Exploit-Ketten eingesetzt wird: Angreifer sammeln zunächst mit dem Speicherleck Informationen über die interne Struktur eines Prozesses, um anschließend RCE-Schwachstellen zuverlässiger auszunutzen. Die Praxis zeigt seit Jahren, dass Informationslecks häufig genauso sicherheitskritisch sind wie klassische Remote-Code-Execution-Bugs, weil sie andere Angriffe erst praxistauglich machen.
CVE-2026-21265: Ablaufende Secure-Boot-Zertifikate als strategisches Risiko
Die zweite 0‑Day-Schwachstelle CVE-2026-21265 betrifft nicht eine einzelne Komponente, sondern die Vertrauensinfrastruktur von Windows Secure Boot. Konkret geht es um das Auslaufen von Secure-Boot-Zertifikaten aus dem Jahr 2011. Mit Annäherung an das Ablaufdatum steigt das Risiko, dass Angreifer diese Zertifikate missbrauchen, um Secure Boot zu umgehen und manipulierte Bootloader oder frühe Schadsoftware zu laden.
Besonders relevant sind drei Zertifikate: Microsoft Corporation KEK CA 2011 (Ablauf: 24. Juni 2026), Microsoft Corporation UEFI CA 2011 (27. Juni 2026) und Microsoft Windows Production PCA 2011 (19. Oktober 2026). Die Januar-Patches passen die Vertrauenskette an und verlängern bzw. aktualisieren deren Nutzung, um die Integrität des Secure-Boot-Mechanismus und der Boot-Komponenten zu erhalten. Organisationen mit eigenen Secure-Boot-Richtlinien und zentralem Gerätemanagement sollten dieses Update zeitnah einspielen, da sonst potenziell ein Angriffsfenster für den frühen Manipulationszeitpunkt im Boot-Prozess entsteht.
CVE-2023-31096: Entfernung verwundbarer Agere-Soft-Modem-Treiber
Die dritte 0‑Day-Schwachstelle CVE-2023-31096 betrifft Agere Soft Modem-Treiber, die mit unterstützten Windows-Versionen ausgeliefert wurden. Die Treiberdateien agrsm64.sys und agrsm.sys wurden von Angreifern bereits genutzt, um auf kompromittierten Systemen Administratorrechte zu erlangen Microsoft reagiert nun konsequent und entfernt diese Treiber vollständig aus dem System. Dieser Schritt verdeutlicht die verschärfte Treiber-Policy: Potenziell unsichere Kernel-Treiber werden eher auskommentiert als weiter mitgeschleppt – auch wenn dies ältere oder selten genutzte Hardware betreffen kann. Aus Sicht der Angriffserkennung ist dies sinnvoll, da missbrauchte, signierte Treiber in vielen realen Vorfällen als privilegiertes Werkzeug für Lateral Movement und Persistenz dienten.
Empfehlungen für Unternehmen: Patch-Management, Treiberkontrolle und Secure Boot
Angesichts der aktiv ausgenutzten 0‑Day-Schwachstelle und der Bedeutung der Secure-Boot-Zertifikate sollte der Januar-Patch-Tuesday 2026 höchste Priorität im Vulnerability Management erhalten. Unternehmen sollten die Updates zunächst in einer realitätsnahen Testumgebung validieren und anschließend gestaffelt auf produktive Systeme ausrollen. Besonders kritisch sind Systeme mit Zugang zu sensiblen Daten, Domain-Controllern, Verwaltungsservern und OT-/ICS-Umgebungen.
Parallel dazu empfiehlt sich eine Überprüfung der Treiberlandschaft: Nicht mehr benötigte, veraltete oder nicht unterstützte Treiber sollten aktiv entfernt oder blockiert werden. Ebenso wichtig ist ein Abgleich der Secure-Boot-Konfiguration mit aktuellen Herstellerempfehlungen sowie das Einspielen von Firmware- und UEFI-Updates der Hardwareanbieter. Branchenstandards wie ISO 27001 oder BSI IT-Grundschutz betonen seit langem, dass ein strukturiertes Patch- und Asset-Management zu den effektivsten Maßnahmen gegen erfolgreiche Angriffe gehört.
Maßnahmen für Privatanwender: Updates, Schutzsoftware und sichere Nutzung
Auch Heimanwender sollten die aktuellen Windows- und Office-Sicherheitsupdates nicht aufschieben. Schwachstellen wie CVE-2026-20805 werden erfahrungsgemäß rasch in Exploit-Kits integriert, die über Phishing-Mails, manipulierte Dokumente oder kompromittierte Websites verbreitet werden. Wer automatische Updates aktiviert, auf Raubkopien verzichtet und eine seriöse Schutzlösung einsetzt, reduziert das Risiko deutlich. Ergänzend bleibt grundlegende „Cyber-Hygiene“ entscheidend: misstrauischer Umgang mit Anhängen und Links, Nutzung starker, einzigartiger Passwörter und, wo möglich, Aktivierung von Mehrfaktorauthentifizierung.
Der Patch Tuesday im Januar 2026 zeigt exemplarisch, dass nicht nur spektakuläre RCE-Bugs Aufmerksamkeit verdienen. Informationslecks, auslaufende Zertifikate und verwundbare Treiber können in modernen Angriffsketten eine ebenso zentrale Rolle spielen. Wer seine Sicherheitsstrategie auf ein ganzheitliches Risikomanagement ausrichtet – von vollständiger Asset-Inventarisierung über konsequentes Patch-Management bis hin zur regelmäßigen Überprüfung von Treibern und Boot-Konfigurationen – verbessert nachhaltig seine Resilienz. Organisationen wie auch Privatanwender sollten die aktuellen Updates daher zum Anlass nehmen, ihre Update-Prozesse, Richtlinien und Schutzmechanismen kritisch zu prüfen und dauerhaft zu stärken.
