Microsoft presst im April 2026 ganze 165 neue CVEs in seinen Patchday. Acht davon sind kritisch. Angreifer nutzen eine SharePoint-Sicherheitslücke bereits aus, ein Defender-Fehler gilt als öffentlich bekannt. Zählt man Chromium und weiteren Fremdcode hinzu, sind es 247 Einträge.
Der Microsoft Patchday April 2026 schließt 165 Sicherheitslücken, darunter die kritische Schwachstelle CVE-2026-33824 im IKE-Dienst, die unauthentifizierten Angreifern wurmartige Remote Code Execution über präparierte UDP-Pakete auf Port 500 und 4500 ermöglicht.
(Bild: Dall-E / Vogel IT-Medien / KI-generiert)
Ein wichtiger Patch des Microsoft Patchdays im April betrifft SharePoint-Server. Hinter CVE-2026-32201 steckt ein Spoofing-Fehler mit XSS-Bezügen, der einen CVSS-Score von 6.5 hat. Angreifer können präparierte Requests an exponierte SharePoint-Systeme senden, lesen dadurch Informationen aus oder stoßen Änderungen an offen gelegten Daten an. In Umgebungen mit Internet-Zugriff, Workflows und Dokumentportalen öffnet der Fehler einen direkten Pfad in Kollaboration und Freigabeprozesse.
Mit CVE-2026-33827 schließt Microsoft eine TCP/IP-RCE, die einen CVSS-Score von 8.1 hat. Unauthentifizierte Angreifer schicken bei dieser Sicherheitslücke präparierte Pakete an Systeme mit IPv6 und IPsec, treffen eine Race Condition und führen Code ohne Nutzeraktion aus. Ähnlich brisant läuft CVE-2026-33824 im IKE-Dienst. Die Schwachstelle hat einen CVSS-Score von 9.8, reagiert auf präparierte UDP-Pakete über Port 500 und 4500 und öffnet damit einen zweiten Kandidaten für wurmartige Angriffe. Ein Filter auf diesen Ports stoppt externe Pakete, verhindert aber keine laterale Bewegung im internen Netz.
Drei kritische Office-Fehler fallen auf, weil schon das Vorschaufenster als Angriffsweg reicht. Sowohl CVE-2026-32190 als auch CVE-2026-33114 und CVE-2026-33115 haben jeweils einen CVSS-Score von 8.4. Office rendert präparierte Inhalte schon in der Vorschau, dadurch startet der Angriffsweg oft vor dem eigentlichen Öffnen eines Dokuments. Mit CVE-2026-32157 gibt es mal wieder einen RDP-Client-Fehler mit einem CVSS-Score von 8.8. Hier lockt ein bösartiger RDP-Server das Ziel in eine manipulierte Sitzung und führt Code auf dem Client aus.
Active Directory taucht ebenfalls beim Patchday auf. Der Fehler CVE-2026-33826 hat einen CVSS-Score von 8.0 und verlangt Authentisierung plus Netz-Nähe, ermöglicht danach aber Remote Code Execution im Verzeichnisdienst. Parallel zieht Microsoft neue Hinweisfenster für RDP-Dateien ein, damit manipulierte Verbindungsprofile nicht mehr einfach so aufgehen.
Viele Fehler heben lokalen Code auf SYSTEM- oder auf Admin-Niveau, was den zweiten Schritt nach Phishing, Makro-Missbrauch oder Browser-Fallout liefert. Das reicht von Desktop Windows Manager und Kernel über AFD für WinSock, COM, Shell, Projected File System und Push Notifications bis zu WSUS, SSDP und UPnP. Im Feld der Sandbox-Ausbrüche sticht CVE-202626167 aus dem Push-Notifications-Block heraus, denn der Fehler kommt mit niedriger Komplexität aus. Andere Kandidaten in diesem Muster hängen an Race Conditions und bremsen Exploit-Code dadurch nur leicht.
Der Azure-Monitor-Agent gibt nach Erfolg Root-Rechte frei, die entsprechenden Schwachstellen CVE-2026-32168 und CVE-2026-32192 tragen jeweils einen CVSS-Score von 7.8. Im Brokering File System reicht ein Treffer nur bis zum Konto des angemeldeten Nutzers, also nicht automatisch bis SYSTEM, doch Admin-Konten auf Arbeitsplätzen machen auch diesen Pfad problematisch. Mehrere DWM- und AFD-Fehler können zudem den Rechner abstürzen lassen.
Die SFB-Gruppe greift im April direkt Vertrauenskette und Schutzgrenzen an. Power Apps umfasst mit CVE-2026-26149 einen Fehler, der einen CVSS-Score von 9.0 hat und eine Sicherheitsabfrage umgeht, danach stößt ein externer Protokollaufruf unbeabsichtigte Aktionen auf dem Gerät an. PowerShell liefert mit CVE-2026-26143 einen zweiten heiklen Fall. Der Fehler hat einen CVSS-Score von 7.8 und umgeht Prüfungen für dynamische Ausdrücke, was am Ende sogar Codepfade freilegt. Im Windows-Shell-Block ist CVE-2026-32225 mit einem CVSS-Score von 8.8 relevant. BitLocker, Secure Boot, Windows Hello und WinRE stehen ebenfalls im Fokus. Wichtig ist auch der VBS-Fehler CVE-2026-23670. Hier erlaubt ein kompromittierter Windows-Kernel Eingriffe in Speicher des Secure Kernel.
Der Fehler CVE-2026-23666 hat einen CVSS-Score von 7.5, trägt das Label kritisch und legt Dienste ohne Authentisierung über das Netz lahm. Im Bereich RCE fallen zudem SQL Server, Hyper-V, Snipping Tool und UPnP Device Host auf. Die Schwachstelle CVE-2026-33120 in SQL Server hat einen CVSS-Score von 8.8 und erfordert eine erfolgreiche Authentifizierung. Nach Installation des Updates sind zusätzliche administrative Maßnahmen erforderlich, da der Fix erst nach Abschluss weiterer Konfigurations- oder Aktualisierungsschritte vollständig wirksam wird. Die beiden Hyper-V-Fehler CVE-2026-26156 und CVE-2026-32149 wirken fast als lokale EoP, weil Angreifer Code lokal in der Virtualisierungsschicht platzieren können.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der Monat bringt zudem zahlreiche Info-Leaks. Copilot und Visual Studio Code öffnen mit CVE2026-23653 Einblick in Inhalte aus dem Model Context Protocol. Unternehmen mit eigenen MCP-Servern verlieren damit interne Prompts, Werkzeuge oder Datenpfade. Im DoS-Feld sticht CVE-2026-33096 in HTTP.sys heraus, Microsoft bietet dazu einen Workaround. Der WSUS-Fehler CVE-2026-26154 wirkt faktisch als DoS, da präparierte Pakete die Verfügbarkeit des Dienstes treffen.
Seit vielen Jahren veröffentlichen wir regelmäßig Meldungen zum Microsoft Patchday. Wir würden gerne von Ihnen wissen, wie wir die Meldungen noch nützlicher für Ihre tägliche Arbeit machen können. Welche Infos wünschen Sie sich zusätzlich, was können wir übersichtlicher machen, was weglassen? Schreiben Sie uns eine E-Mail! Wir lesen jede Zuschrift, versprochen!
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/a9/e3a92c703fdb1e6cc4dfbe4117dc6153/0122470970v1.jpeg "Der Microsoft Patchday April 2026 schließt 165 Sicherheitslücken, darunter die kritische Schwachstelle CVE-2026-33824 im IKE-Dienst, die unauthentifizierten Angreifern wurmartige Remote Code Execution über präparierte UDP-Pakete auf Port 500 und 4500 ermöglicht. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/58/1358c2ded23f2ab0d558a77f64d03040/0130515574v2.jpeg "Weil TeamPCP kurz zuvor mehrere großangelegte Supply‑Chain‑Angriffe durchgeführt hatte, wurde die Axios‑Kompromittierung zunächst fälschlich der Gruppe zugeschrieben. (Bild: © solom - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/76/3d/763d79293b04c72c30273fbc8b28cb3a/0130636515v2.jpeg "Quantencomputing ist eine Rechenmethode, die Quantenbits (Qubits) statt klassischer Bits nutzt, die durch Superposition und Verschränkung mehrere Zustände gleichzeitig einnehmen können. Damit können komplexe Probleme exponentiell schneller gelöst werden, als mit klassischen Computern. (Bild: phive2015 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/2b/a22b3af8c8e16e65b3a4bb7442569fb0/0130322683v1.jpeg "Sauber aufgeräumt: Das gehört zu den Gründen, warum die Kombination KI und Container recht erfolgreich ist. (Bild: © Yuliia - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ba/0f/ba0f5134efeb835362ae63865e6459cd/0130457235v2.jpeg "KI-Agenten agieren künftig wie digitale Mitarbeitende mit eigenen Identitäten und klar definierten Zugriffsrechten. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/b2/1bb200b389165b2357df29b879f86b73/0130536883v1.jpeg "privacyIDEA 3.13 vereinfacht das Rollout und erhöht die Sicherheit, indem es Passkeys während der Anmeldung mit Offline‑Verfügbarkeit erlaubt und Push‑Token für RADIUS durch Code‑Bestätigung stärkt. (Bild: NetKnights GmbH)")
:quality(80)/p7i.vogel.de/wcms/59/79/59797851d59d6c8b257d6c701077373a/0130477551v2.jpeg "SAP Access Control bietet unter anderem Notfallzugriffsverwaltung, Zugriffsrisikoanalyse und Zertifizierungsprüfung für strukturierte Berechtigungskontrolle in SAP-Landschaften. (Bild: © UD - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/e2/fce2aa6d9c7883d3e8b72999eb1d2711/0130120519v1.jpeg "Axians Katalog mit SAP-Add-ons umfasst 24 spezialisierte Lösungen. (Bild: Axians)")
:quality(80)/p7i.vogel.de/wcms/62/b7/62b73ef026d142356b893c09bb73bb71/0130515032v2.jpeg "Die Hackergruppe TeamPCP führte jüngst Supply‑Chain‑Angriffe auf Trivy und PyPI‑Pakete durch, um Zugangsdaten zu stehlen und Ransomware zu platzieren. (Bild: © Studenkova - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c4/f5/c4f5fc500292a788b4db164c36458267/0130475878v2.jpeg "Security Baselines für Windows Server 2025 umfassen unter anderem Authentifizierung, SMB-Härtung, Virtual Based Security und Defender. Umsetzung erfolgt über Gruppenrichtlinien und Security Compliance Toolkit. (Bild: © artchvit - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/9a/929aeb32c07212ea8843dba7dceb5be7/0130409906v2.jpeg "Mit der korrekten Konfiguration des Microsoft-365-Tenants steht und fällt der Unternehmensbetrieb. Menschliche Fehler, Insider-Bedrohungen und Tenant-Übernahmen gehören zu den größten Risiken. (Bild: © Santiago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/e0/5ce060d4d2f8c718ecc850759b1b7c4d/0126593157v1.jpeg "External Attack Surface Management (EASM) ist die Verwaltung und Absicherung der von außen zugänglichen digitalen Assets und externen Angriffsflächen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/e5/13e52ba754a65049c995146bac2f5426/0130048944v2.jpeg "Das US-Außenministerium hat sechs Männer sanktioniert, die zu CyberAv3ngers gehören. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/d2/43d2604538d6ae5a50d26cccc98cb9e6/0130112281v1.jpeg "IT-Governance ist ein wesentlicher Bestandteil der Unternehmensführung und bildet einen Ordnungsrahmen für die IT. (Bild: @indypendenz via Canva: Visual Suite for Everyone)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/69/9d/699da109d631b/onapsis-logo-full-color-rgb-150dpi.png "onapsis-logo-full-color-rgb-150dpi (Onapsis)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/f2/f3/f2f38be8340a8b744e5c693e90aabfd4/0128625667v2.jpeg "Auch 2026 ist der Microsoft Patchday immer am zweiten Dienstag des Monats. (Bild: Microsoft, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ebe7bae1c8880d95e733e544a93e/0125744786v2.jpeg "Die Schwachstelle CVE-2025-53770 gilt als hochgefährlich, da sie bereits weltweit von Angreifern ausgenutzt wird und SharePoint-Server in Behörden, Unternehmen und kritischen Infrastrukturen kompromittierbar macht. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/eb/bdebce8b595a259020d21d00a9282ae3/0129678262v2.jpeg "Bei erfolgreicher Ausnutzung der Sicherheitslücke CVE-2026-26119 im Windows Admin Center könnten Angreifer unter bestimmten Bedingungen vollständige Administratorrechte im Netzwerk ihrer Opfer erlangen und so eine umfassende Kompromittierung der gesamten Domäne ermöglichen. (©sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fd/f2fd0fdbd69c98d3744922b4a52c9dea/0129347431v2.jpeg "Microsoft Azure bietet mit den drei anfälligen Lösungen die Möglichkeit, serverlose Anwendungen zu erstellen, den Anwendungs-Traffic zu verwalten und hybride sowie Multicloud-Umgebungen zu steuern. Bei erfolgreicher Ausnutzung sind damit zahlreiche sensible Informationen für Angreifer potenziell zugänglich. (Bild: © Syda Productions - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/07/330715e07e85cb5ab855b87277dd2bd8/0123215790v2.jpeg "Entra ID und Microsoft 365 mit Passkeys nutzen: So geht’s. (Bild: BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/ed/91edba400b970f6d4935efa4b47a129e/0128319394v2.jpeg "Microsoft-Produkte wie Windows, Azure, Office, Dynamics Visual Studio und viele mehr werden ausgemustert oder werden auf erweiterten Support umgestellt oder erhalten gar keinen Support mehr. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a3/ec/a3ec11b9e86fea4d2ef9e49a0a69f316/0127251360v2.jpeg "Wir haben die wichtigsten Fakten zum Support-Ende von Windows 10 zusammengetragen, mit Experten mögliche Sicherheitsmaßnahmen für den Weiterbetrieb bewertet und ein alternatives Betriebssystem vorgestellt. Das Ergebnis ist diese Podcast-Reihe, die Sie durch diese Woche begleitet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d9/41/d9410335aa54ea822dc98e0564a65219/0121658350v1.jpeg "Der Microsoft Patchday ist immer am zweiten Dienstag des Monats. (Bild: Sahir_Stock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/1c/591c3b317d4f85efd99e9aaf1d8284d4/0122470970v1.jpeg "Microsoft patcht im August 2025 kritische Sicherheitslücken unter anderem in Windows, Office und Serverdiensten. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a7/9d/a79de71fede7c7865dd3bf90e3bb68d0/0122470970v1.jpeg "Sicherheitslücke CVE-2025-60724 in GDI+ ist mit einem CVSS-Score von 9.8 die gefährlichste Schwachstelle des Microsoft Patchdays im November. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")