Der Microsoft Patch Tuesday im Maerz 2026 faellt sicherheitsrelevant besonders ins Gewicht: Mehr als 80 behobene Sicherheitsluecken betreffen ein breites Produktspektrum von Windows und Office bis hin zu Azure-Diensten. Darunter finden sich zwei oeffentlich bekannt gewordene 0-Day-Schwachstellen sowie acht kritisch eingestufte Bugs, was diesen Update-Zyklus fuer Unternehmen und Behoerden zu einer klaren Prioritaet macht.
Patch Tuesday Maerz 2026: Breites Bedrohungsspektrum in Windows, Office und Azure
Nach Angaben der Microsoft-Sicherheitsbulletins entfallen 46 der geschlossenen Schwachstellen auf Elevation of Privilege (EoP). Solche Fehler erlauben es Angreifern, von einem eingeschraenkten Konto auf Administrator- oder SYSTEM-Rechte zu eskalieren – ein zentraler Baustein in fast jeder erfolgreichen Angriffskette.
Weitere 18 Schwachstellen ermoeglichen Remote Code Execution (RCE), bei denen aus der Ferne Schadcode auf dem Zielsystem ausgefuehrt werden kann. Zehn Bugs fuehren zu unbefugter Informationsoffenlegung, vier zu Spoofing (Identitaetsanmassung), vier zu Denial of Service und zwei zu Security Feature Bypass, also zur Umgehung integrierter Schutzmechanismen. Diese Verteilung spiegelt typische mehrstufige Angriffe wider, in denen RCE- und Applikationsschwachstellen mit EoP-Bugs kombiniert werden.
Oeffentlich bekannte 0-Day-Schwachstellen: Kein Exploit-Nachweis, aber hohes Risiko
Microsoft zaehlt Schwachstellen bereits dann als 0-Day, wenn ihre Existenz vor Verfuegbarkeit eines Patches oeffentlich bekannt wird – auch ohne nachgewiesene aktive Ausnutzung. Genau das trifft auf die beiden Maerz-0-Days zu: Zum Zeitpunkt der Update-Veröffentlichung lagen Microsoft keine Belege fuer laufende Angriffe vor. Aus Sicht der Verteidiger steigt das Risiko dennoch deutlich, sobald technische Details in Umlauf sind und Angreifer Exploits nachbauen koennen.
Organisationen sollten diese 0-Day-Fixes daher fruehzeitig in Wartungsfenster einplanen und Systeme mit hohem Expositionsgrad – etwa Terminalserver, exponierte Webdienste oder stark genutzte Office-Umgebungen – priorisiert behandeln.
Kritische Remote-Code-Execution: Office-Vorschau und Cloud-Service im Fokus
CVE-2026-21536: Kritische RCE im Microsoft Devices Pricing Program
Besonders hoch faellt die Bewertung fuer CVE-2026-21536 aus: Die RCE-Schwachstelle im Microsoft Devices Pricing Program erreicht einen CVSS-Score von 9,8. Erfolgreiche Angriffe koennten die Ausfuehrung beliebigen Codes mit weitreichenden Rechten ermoeglichen. Laut Microsoft wurde die Schwachstelle jedoch vollstaendig serverseitig behoben; Kunden muessen kein separates Update installieren.
Auch wenn hier kein unmittelbarer Handlungsbedarf auf Endkundenseite besteht, zeigt der Fall, wie wichtig ein kontinuierlicher Sicherheits-Audit externer Cloud-Services und Integrationen ist. Unzureichend geschuetzte SaaS- oder Partnerdienste koennen in der Praxis denselben Schaden anrichten wie lokal verwaltete Systeme.
CVE-2026-26110 und CVE-2026-26113: Office-RCE ueber die Vorschauansicht
Besonders sicherheitskritisch fuer den Alltag vieler Unternehmen sind die RCE-Schwachstellen CVE-2026-26110 und CVE-2026-26113 in Microsoft Office. Beide koennen ueber die Vorschauansicht (Preview Pane) ausgeloest werden. Das bedeutet, dass unter Umstaenden bereits das Vorschauen eines Dokuments im Datei-Explorer oder E-Mail-Client ausreichen kann, um Schadcode auszufuehren – ohne dass der Anwender die Datei aktiv oeffnet.
Dieser Angriffsvektor ist fuer Phishing-Kampagnen besonders attraktiv, da er die Huerde fuer den Benutzerinteraktionsbedarf senkt. Unternehmen sollten Office-Updates deshalb mit erhoehter Prioritaet ausrollen und in hochsensiblen Umgebungen die Vorschauansicht einschränken oder deaktivieren, bis alle Systeme gepatcht sind.
Neue Angriffsvektoren: Copilot in Excel und SSRF im Azure Model Context Protocol
CVE-2026-26144: XSS in Excel und Datenabfluss ueber Copilot Agent
Die Schwachstelle CVE-2026-26144 (CVSS 7,5) betrifft Microsoft Excel und basiert auf Cross-Site Scripting (XSS). Laut Microsoft laesst sich der Fehler ausnutzen, um den Copilot Agent zu unerwuenschten ausgehenden Netzwerkverbindungen zu veranlassenzero-click-Szenario.
Mit der zunehmenden Integration von KI-Assistenzsystemen wie Microsoft Copilot in Geschaeftsprozesse gewinnt dieser Angriffsvektor an Bedeutung. Organisationen, die mit besonders sensiblen Daten arbeiten, sollten Copilot-Einsatzszenarien sicherheitsarchitektonisch pruefen, Telemetrie und Netzwerkausgaenge eng monitoren und das entsprechende Update schnell implementieren.
CVE-2026-26118: SSRF im Azure Model Context Protocol (MCP) Server
Mit CVE-2026-26118 (CVSS 8,8) wird eine Server-Side Request Forgery (SSRF) im Azure Model Context Protocol (MCP) Server geschlossen. Angreifer koennen hierbei einen legitimen Azure-Ressourcenbezeichner durch eine angreiferkontrollierte URL ersetzen. Der MCP-Server fuehrt im Anschluss eine Anfrage an diese Adresse aus und uebergibt dabei den managed identity-Token.
Da ein solcher Token Zugang zu allen von ihm berechtigten Ressourcen ermoeglicht, oeffnet sich ein potenzieller Weg fuer Laterale Bewegung und Rechteausweitung innerhalb komplexer Azure-Umgebungen. Unternehmen, die intensiv auf managed identities setzen, sollten die Patches zeitnah verteilen und ihre Least-Privilege-Strategie fuer Cloud-Rollen kritisch nachschaerfen.
RDP-Schwachstelle CVE-2026-21533: Teurer Exploit fuer bereits gepatchten Bug
Parallel zu den Maerz-Updates sorgte die Meldung fuer Aufmerksamkeit, dass im Darknet ein Exploit fuer CVE-2026-21533 angeboten wird – eine Schwachstelle in den Windows Remote Desktop Services (RDP). Der geforderte Preis von rund 220.000 US-Dollar deutet darauf hin, dass Cyberkriminelle der Luecke einen hohen praktischen Nutzwert beimessen.
CVE-2026-21533 ermoeglicht eine Privilegieneskalation auf SYSTEM-Ebene, indem ein bestimmter Registrierungsschluessel der RDP-Dienste (TermService) manipuliert wird. Voraussetzung ist ein bereits vorhandener, niedrig privilegierter Zugang zum System – etwa durch schwache Zugangsdaten oder vorangegangene Exploits. Microsoft hat die Schwachstelle bereits im Februar 2026 behoben; der Verkauf des Exploits zielt damit vor allem auf Organisationen, die ihre February-Patches noch nicht eingespielt haben.
Dieser Fall bestaetigt Beobachtungen aus Branchenreports wie dem Verizon Data Breach Investigations Report und Lagebildern von Behoerden, wonach verspaetetes Patch-Management ein zentraler Erfolgsfaktor fuer Angreifer ist. Bereits geschlossene Schwachstellen bleiben so ueber Monate oder Jahre praktisch ausnutzbar.
Der Maerz-Patch-Tuesday fuehrt deutlich vor Augen, dass strukturiertes Patch-Management und saubere Konfigurationskontrolle zu den wirksamsten Massnahmen der Cybersicherheit gehoeren. Unternehmen sollten zunaechst die oeffentlich bekannten 0-Day-Schwachstellen, die kritischen RCE-Bugs in Microsoft Office, die Luecke im Azure MCP Server sowie – sofern noch offen – die RDP-Schwachstelle CVE-2026-21533 schliessen. Zentralisierte Update-Verwaltung, regelmaessige Asset-Inventur, strikte Beschraenkung von RDP-Zugriffen, konsequente Umsetzung des Least-Privilege-Prinzips und ein waches Monitoring der Microsoft-Sicherheitsbulletins helfen, das Risiko erfolgreicher Angriffe nachhaltig zu senken und die eigene Cyber-Resilienz zu staerken.
