Kritische Windows-, Azure- und Dynamics-Schwachstellen im Mai-Release

Foto des Autors

CyberSecureFox Editorial Team

Microsoft hat im Patch Tuesday Mai 2026 insgesamt 138 Schwachstellen in Windows und Cloud-Services geschlossen, darunter kritische Fehler in Windows DNS, Netlogon, Azure, Dynamics 365 und Entra ID, und gleichzeitig eine verpflichtende Rotation der Secure Boot-Zertifikate bis zum 26. Juni 2026 angekündigt; Organisationen mit Domänenumgebungen, auf Dynamics basierenden CRM-Systemen und intensivem Azure-Einsatz müssen umgehend ein priorisiertes Update planen, da sonst das Risiko für Remote Code Execution und Boot-Störungen schneller wächst als die Fähigkeit der Teams, Patches zu begleiten.

Technische Details des Mai-Release von Microsoft

Laut dem offiziellen Bulletin des Microsoft Security Response Center wurden im Mai-Release 138 Schwachstellen behoben: 30 kritisch, 104 hoch, 3 mittel und 1 gering. Nach Typen dominieren Privilege Escalation (61 Bugs), gefolgt von Remote Code Execution (32), Information Disclosure (15), Spoofing (14), Denial of Service (8), Security Feature Bypass (6) und Tampering (2).

Kritische RCE in Windows DNS: CVE-2026-41096

Eine der gefährlichsten Schwachstellen ist CVE-2026-41096 (CVSS 9.8), ein Heap Overflow in der Komponente Windows DNS. Der verwundbare DNS-Client verarbeitet eine speziell präparierte DNS-Antwort fehlerhaft, was zu einer Speicherbeschädigung führt und einem entfernten Angreifer ermöglichen kann, beliebigen Code ohne Authentifizierung über das Netzwerk auszuführen. Details finden sich im MSRC-Eintrag zu CVE-2026-41096.

Die Kritikalität ergibt sich hier nicht nur aus dem hohen CVSS-Score: Der DNS-Client ist eine grundlegende Netzkomponente, die praktisch auf jedem Host vorhanden ist. Eine speziell vorbereitete Antwort kann sowohl von einem kompromittierten oder bösartigen DNS-Server als auch über Angriffe auf Netzwerkebene (Traffic-Manipulation, Missbrauch interner Resolver) zugestellt werden. Dies ist ein typischer Einstiegspunkt für eine initiale Kompromittierung einer Organisation.

Netlogon im Visier: CVE-2026-41089

CVE-2026-41089 (CVSS 9.8) ist ein Stack Overflow in Windows Netlogon. Laut Beschreibung im MSRC kann ein nicht authentifizierter Angreifer eine speziell gestaltete Netzwerk-Anfrage an einen Windows-Server senden, der als Domänencontroller fungiert, und damit Remote Code Execution ohne vorherigen Zugriff und Login erreichen.

Der angegriffene Dienst befindet sich hier auf Domänencontrollern – dem wertvollsten Punkt in der Infrastruktur. Eine erfolgreiche Ausnutzung bedeutet potenziell die vollständige Übernahme der Domäne mit anschließendem lateralen Bewegen im Netz, Eingriff in Kerberos/Entra, Kontrolle über Gruppenrichtlinien und Software-Rollout-Werkzeuge.

Cloud-Perimeter: Azure, Entra, Teams, Logic Apps, Cloud Shell

Eine Reihe kritischer Schwachstellen betrifft direkt Cloud-Services und Identitäten:

  • CVE-2026-42826 (CVSS 10.0) – Offenlegung sensibler Informationen in Azure DevOps. Die Schwachstelle erlaubt einem nicht autorisierten Angreifer, Daten über das Netzwerk zu beziehen. Microsoft hat sie als Problem markiert, zu dessen Behebung keine zusätzlichen Maßnahmen des Kunden erforderlich sind, siehe MSRC-Beschreibung.
  • CVE-2026-33109 (CVSS 9.9) und CVE-2026-33844 (CVSS 9.0) – Fehler in Zugriffskontrolle und Input-Validierung in Azure Managed Instance for Apache Cassandra, die es einem autorisierten Angreifer ermöglichen, Remote Code Execution durchzuführen. Sie sind als ohne erforderliche Kundenmaßnahmen gekennzeichnet, siehe CVE-2026-33109 und CVE-2026-33844.
  • CVE-2026-42823 (CVSS 9.9) – fehlerhafte Zugriffskontrolle in Azure Logic Apps, die einem autorisierten Benutzer eine Privilegienerweiterung über das Netzwerk ermöglicht.
  • CVE-2026-33823 (CVSS 9.6) – Autorisierungsfehler in Microsoft Teams, Information Disclosure für einen autorisierten Angreifer.
  • CVE-2026-35428 (CVSS 9.6) – Command Injection in Azure Cloud Shell, die einem nicht autorisierten Angreifer Spoofing über das Netzwerk ermöglicht.
  • CVE-2026-40379 (CVSS 9.3) – Offenlegung vertraulicher Informationen und Spoofing in Azure Entra ID.
  • CVE-2026-33117 (CVSS 9.1) – Umgehung der Authentifizierung im Azure SDK, durch die ein nicht autorisierter Angreifer einen Sicherheitsmechanismus über das Netzwerk aushebeln kann.

Auch wenn Microsoft bei einigen Cloud-Services ausdrücklich „no customer action“ angibt, entbindet dies nicht von der Notwendigkeit, die Vertrauensarchitektur zu überprüfen: Die Schwachstellen betreffen die Vertraulichkeit von Entwicklungsartefakten, Secrets, Identitätsdaten und Servicetoken, die im Fall einer Leckage auch außerhalb der konkret verwundbaren Komponente missbraucht werden können.

Geschäftskritische Anwendungen: Dynamics 365 und SSO für Jira/Confluence

CVE-2026-42898 (CVSS 9.9) – Code Injection in Microsoft Dynamics 365 (on-premises). Nach Einschätzung von Forschern ermöglicht die Schwachstelle einem autorisierten Angreifer mit geringen Privilegien, über das Netzwerk beliebigen Code auszuführen, indem Sitzungsdaten von Dynamics-CRM-Prozessen manipuliert werden. Die Kompromittierung eines solchen Servers macht die Business-Anwendung faktisch zu einer Plattform für Remote Code Execution, die potenziell über die ursprünglichen Vertrauensgrenzen hinausreicht.

CVE-2026-42833 (CVSS 9.1) betrifft dasselbe Produkt: Eine Ausführung mit überhöhten Privilegien gibt einem autorisierten Angreifer die Möglichkeit, Code über das Netzwerk auszuführen und mit Anwendungen und Daten anderer Mandanten zu interagieren.

Besondere Aufmerksamkeit verdient CVE-2026-41103 (CVSS 9.1) im Microsoft SSO Plugin for Jira & Confluence. Aufgrund einer fehlerhaften Implementierung des Authentifizierungsalgorithmus kann ein nicht autorisierter Angreifer Anmeldedaten fälschen und sich bei Jira/Confluence als legitimer Benutzer mit dessen vollem Rechteumfang anmelden. Mehr dazu im MSRC-Eintrag zu CVE-2026-41103.

Hypervisor und Client-Komponenten: Hyper-V und andere

CVE-2026-40402 (CVSS 9.3) – eine Use-after-free-Schwachstelle in Windows Hyper-V, die es einem nicht autorisierten Angreifer erlaubt, Privilegien auf SYSTEM-Ebene und Zugriff auf die Host-Umgebung zu erlangen. Für Infrastrukturen mit hoher Virtualisierungsdichte ist dies ein direkter Risko eines VM-Escapes.

Zusätzlich weist Microsoft darauf hin, dass der Release auch Fixes für den Browser Edge enthält, die auf 127 Schwachstellen in Chromium basieren, die in der Sicherheitsdokumentation zu Microsoft Edge beschrieben sind (Release Notes zur Sicherheit von Edge).

Hardware-Ebene: AMD Zen 2 (CVE-2025-54518)

In die Liste der Updates wurde die Schwachstelle CVE-2025-54518 (CVSS 7.3) aufgenommen, die zuvor von AMD behoben wurde. Laut Bulletin AMD-SB-7052 kann auf Prozessoren der Reihe Zen 2 eine fehlerhafte Isolation gemeinsam genutzter Cache-Ressourcen für Operationen einem Angreifer ermöglichen, die Ausführung von Instruktionen auf einer anderen Privilegienebene zu beeinflussen, was potenziell zu Privilege Escalation führt. In der Praxis bedeutet dies die Notwendigkeit eines abgestimmten Updates von Microcode/Firmware durch den Hardware-Anbieter und Software-Patches durch Microsoft.

KI-beschleunigte Schwachstellensuche: System MDASH

Nach Angaben von Microsoft wurden in den ersten fünf Monaten des Jahres 2026 bereits mehr als 500 CVE behoben. In einem separaten Bericht gibt das Unternehmen an, dass ein signifikanter Teil neuer Schwachstellen mithilfe von Systemen auf Basis künstlicher Intelligenz gefunden wird. Insbesondere wurden 16 Fehler im Netzwerk- und Authentifizierungs-Stack von Windows in diesem Monat durch das neue multimodale, agentenbasierte System MDASH (multi-model agentic scanning harness) entdeckt, das im Blog Microsoft Security beschrieben ist (Details zu MDASH).

In der begleitenden Notiz des MSRC zum Patch Tuesday im Mai wird hervorgehoben, dass in diesem Release der Anteil der von Microsoft selbst gefundenen Schwachstellen höher als üblich ist, was maßgeblich auf den Einsatz von MDASH und zugehörigen Analyseprozessen zurückzuführen ist. Die Folge ist ein beschleunigtes Tempo bei der Veröffentlichung von Patches, insbesondere im Netzwerk- und Authentifizierungs-Stack, und eine steigende operative Belastung der Teams, die für Updates verantwortlich sind.

Bewertung der Auswirkungen auf die Infrastruktur

Am stärksten gefährdet sind Organisationen mit folgenden Merkmalen:

  • Weit verbreiteter Einsatz von Active Directory mit eigenen DNS-Servern und Domänencontrollern: Die Kombination aus CVE-2026-41096 und CVE-2026-41089 schafft eine Kette vom initialen Einstieg (über den DNS-Client) bis zur vollständigen Domainsübernahme (über Netlogon).
  • Einsatz von Dynamics 365 (on-premises) als zentrales CRM/ERP-Element: Ein erfolgreicher Angriff über CVE-2026-42898 und CVE-2026-42833 bedeutet das Risiko der Offenlegung von Kundendaten, Geschäftsprozessen, Finanzinformationen und einer anschließenden Kompromittierung integrierter Systeme (Identity-Services, Datenbanken, externe Anwendungen).
  • Intensive Nutzung von Azure DevOps, Logic Apps, Managed Cassandra, Teams, Cloud Shell, Entra ID: Hier geht es um die Vertraulichkeit von Entwicklungsartefakten, Zugriffstoken und Identitätsmetadaten. Selbst wenn „keine Maßnahmen des Kunden erforderlich“ sind, ist es wichtig, das Bedrohungsmodell zu bewerten: Die Kompromittierung von Servicedaten kann über den aktuellen Vorfall hinaus ausgenutzt werden.
  • Organisationen, die sich bei SSO in Jira/Confluence auf das Microsoft-Plugin stützen: Die Schwachstelle CVE-2026-41103 ermöglicht es de facto, die Authentifizierungsebene zu umgehen und Jira/Confluence als Ausgangspunkt für Bewegungen entlang von Aufgabenketten, Konfigurations-Repositories und Dokumenten zu nutzen.
  • Virtualisierungsinfrastrukturen auf Basis von Hyper-V: CVE-2026-40402 betrifft direkt die Grenze zwischen „Gast“ und „Host“ und wirft die Frage nach der Segmentierung von Workloads mit unterschiedlicher Kritikalität auf.
  • Organisationen mit einem Bestand an Systemen, die Secure Boot mit Root-Zertifikaten aus dem Jahr 2011 verwenden: Nach Aussage von Fachleuten drohen bei Ausbleiben der Zertifikats-Updates bis zum 26. Juni 2026 „katastrophale Ausfälle auf Boot-Ebene“ oder der Wechsel in einen herabgesetzten Sicherheitsmodus.
  • Einsatz der Hardwareplattform AMD Zen 2 in Umgebungen mit strengen Isolationsanforderungen (Mehrbenutzersysteme, Clouds, Hosting): Die Schwachstelle CVE-2025-54518 schwächt die Garantie der Privilegtrennung auf Prozessor-Ebene.

Werden diese Probleme nicht behoben, ist die Organisation folgenden Risiken ausgesetzt:

  • Remote-Eindringen ohne vorhandenen Perimeter (DNS, Netlogon);
  • Kompromittierung von Lieferketten und DevOps-Pipelines (Azure DevOps, Logic Apps, Cloud Shell);
  • umfangreiche Lecks von Kunden- und Finanzdaten (Dynamics 365, Entra ID, Teams);
  • Erschütterung des Vertrauens in Boot-Mechanismen und Plattformintegrität (Secure Boot, AMD Zen 2);
  • deutlich erhöhte Belastung der Betriebsteams durch den beschleunigten „Discovery–Patch“-Zyklus infolge des Einsatzes von KI-Systemen.

Praktische Handlungsempfehlungen für die Reaktion

Priorisierung der Updates

Unter Berücksichtigung der Netzwerkanbindung und der Folgen einer Ausnutzung ist folgender Arbeitsablauf sinnvoll:

  1. Alle unterstützten Windows-Versionen umgehend aktualisieren, insbesondere:
    • Hosts, die als DNS-Clients/-Server fungieren (CVE-2026-41096);
    • alle Active-Directory-Domänencontroller (CVE-2026-41089);
    • Hyper-V-Hosts (CVE-2026-40402).
  2. Updates für Dynamics 365 (on-premises) ausrollen, die CVE-2026-42898 und CVE-2026-42833 beheben, mit vorherigem Test in einer Staging-Umgebung aufgrund der starken Integration des CRM mit externen Systemen.
  3. Microsoft SSO Plugin for Jira & Confluence aktualisieren oder neu installieren, das den Fix für CVE-2026-41103 enthält, und die Protokolle auf verdächtige Anmeldeaktivitäten prüfen.
  4. Update-Status in Azure überprüfen:
    • sicherstellen, dass Subscriptions und Ressourcen nicht für die automatische Anwendung von Updates für Azure DevOps, Logic Apps, Managed Cassandra, Teams, Cloud Shell und Entra ID blockiert sind;
    • die Rechte von Servicekonten und Tokens überprüfen, selbst wenn „keine Maßnahmen des Kunden erforderlich“ sind.
  5. Den Browser Microsoft Edge auf die neueste Version bringen, um die Fixes für 127 Chromium-Schwachstellen einzuschließen, die in der Sicherheitsdokumentation zu Edge aufgeführt sind.
  6. Mit den Hardware-Vendoren die Installation von Microcode für AMD Zen 2 abstimmen gemäß Bulletin AMD-SB-7052 und sicherstellen, dass das Betriebssystem den aktualisierten Microcode verwendet.

Rotation der Secure-Boot-Zertifikate

Bis zum 26. Juni 2026 müssen Organisationen:

  • alle Geräte identifizieren, die auf Secure-Boot-Zertifikate aus dem Jahr 2011 angewiesen sind (über eine Inventarisierung von BIOS/UEFI und Windows-Boot-Policies);
  • Windows-Updates bereitstellen, die die neuen Zertifikate aus dem Jahr 2023 enthalten, wie in der MSRC-Notiz zu diesem Release beschrieben (Kommentar von Microsoft zum Patch Tuesday);
  • falls erforderlich, UEFI-Firmwares auf Servern und Workstations aktualisieren, sofern der Vendor separate Pakete zur Schlüsselrotation bereitstellt;
  • Boot-Szenarien an einer Kontrollgruppe mit verschiedenen Gerätemodellen testen, bevor das Update breit ausgerollt wird, um das Risiko von Ausfällen zu minimieren.

Erkennung verwundbarer Systeme und Härtung der Konfiguration

Zur Bewertung der Verwundbarkeit und zur Reduktion der Angriffsfläche:

  • Update-Management-Systeme (WSUS, Microsoft Endpoint Configuration Manager und Äquivalente) nutzen, um Reports zum Status der Mai-Patches für folgende Systeme zu erstellen:
    • Domänencontroller;
    • Hyper-V-Hosts;
    • Server mit installiertem Dynamics 365 (on-premises);
    • Hosts mit installiertem SSO-Plugin für Jira/Confluence.
  • die Netzwerkanbindung der Dienste Netlogon und DNS-Server auf die erforderlichen Segmente beschränken (Firewalls, Access-Control-Listen).
  • die Konfiguration von Entra ID und verknüpften Anwendungen überprüfen:
    • veraltete Authentifizierungsmethoden deaktivieren;
    • Multi-Faktor-Authentifizierung für alle administrativen und hochriskanten Konten aktivieren;
    • delegierte Berechtigungen für Anwendungen und Service-Identitäten neu bewerten.
  • die Segmentierung von virtuellen Maschinen auf Hyper-V verstärken, kritische und unkritische Lasten trennen und den Zugriff auf das Hypervisor-Management einschränken.

Angesichts des zunehmenden Umfangs von Patches, die durch den Einsatz von KI-Systemen wie MDASH entstehen, ist es schließlich sinnvoll, eine Update-Kadenz nach Auswirkungsgrad und Exposition zu formalisieren und nicht nach der Anzahl der behobenen CVE: Vorrangig sollten Systeme aktualisiert werden, die ohne Authentifizierung aus dem Netzwerk erreichbar sind (DNS, Netlogon, Hyper-V, internet-exponierte Azure-Services) sowie Knoten mit der höchsten Konzentration wertvoller Daten (Dynamics 365, Entra ID), während parallel die Rotation der Secure-Boot-Zertifikate bis zum harten Stichtag 26. Juni 2026 geplant wird.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen