Microsoft Patchday Juli 2026 Zwei Zero-Days und eine Rekordzahl an Patches

Von Thomas Joos 3 min Lesedauer

Anbieter zum Thema

Microsoft schließt im Juli 2026 hunderte Sicherheitslücken, dutzende davon kritisch, der Rest überwiegend wichtig und wenige moderat. Zwei Schwach­stellen greifen Angreifer bereits aktiv an, eine dritte war vor dem Patch öffentlich bekannt.

Beim Juli Patchday hat Microsoft insgesamt 622 Schwachstellen behoben, ein neuer Rekord.(Bild:  Dall-E / Vogel IT-Medien / KI-generiert)
Beim Juli Patchday hat Microsoft insgesamt 622 Schwachstellen behoben, ein neuer Rekord.
(Bild: Dall-E / Vogel IT-Medien / KI-generiert)

Bevor Microsoft die Schwachstelle bei seinem Juli Patchday schließen konnte, nutzen Angreifer CVE-2026-56155 bereits aktiv aus. Die Sicherheitslücke beschreibt eine Rechte­aus­wei­tung in Active Directory Federation Services (AD FS) mit einem CVSS-Score von 7.8. Ursache ist eine unzureichend granulare Zugriffskontrolle, über die ein lokal angemeldeter Angreifer mit geringen Rechten auf Administratorrechte springen kann. AD FS sichert das Anmeldevertrauen zwischen lokalem Verzeichnis und Entra ID ab, daher können Angreifer nach der Ausnutzung tief in die Identitätsinfrastruktur vordringen. Microsoft hat den Fehler durch das eigene Incident-Response-Team bei laufenden Angriffen entdeckt.

Parallel greifen Angreifer CVE-2026-56164 in SharePoint Server an, eine Rechteausweitung mit einem CVSS-Score von 5.3. Der niedrige Wert täuscht, denn eine fehlende Authentifizierung an einer kritischen Funktion lässt einen unauthentifizierten Angreifer über das Netz Rechte anheben. Betroffen sind SharePoint Server 2016, 2019 und die Subscription Edition. Microsoft rät, das Antimalware Scan Interface zu aktivieren und den Request Body Scan auf den Modus Full zu stellen.

Vor dem Patch öffentlich bekannt

Wie CVE-2026-56155 war auch die Schwachstelle CVE-2026-50661 vor dem Patch öffentlich bekannt. Sie beschreit ein Umgehen der BitLocker-Geräteverschlüsselung mit einem CVSS-Score von 6.1. Der Angriff verlangt physischen Zugriff auf das Gerät und hebelt den Schutz des Systemdatenträgers aus.

Kritische Codeausführung über das Netz

Die gefährlichsten Fehler des Monats erlauben entfernte Codeausführung ohne Anmeldung. CVE-2026-50518 im Windows-DHCP-Server hat einen CVSS-Score von 9.8 und beruht auf einem heap-basierten Pufferüberlauf, den ein Angreifer unauthentifiziert über das Netz auslösen kann.

Microsoft korrigiert weitere kritische DHCP-Fehler, darunter CVE-2026-56159 mit demselben Wert. CVE-2026-56190 im Remote Desktop Protocol erreicht ebenfalls einen CVSS-Score von 9.8, hier nutzt der Fehler eine nicht initialisierte Ressource, sodass Angreifer über präparierten RDP-Verkehr den Speicher korrumpieren und die Codeausführung übernehmen können.

Wurmartig verhält sich CVE-2026-56188 in einem Netzwerktreiber von Windows Server, eine Race Condition mit einem CVSS-Score von 9.8, deren Angriff sich ohne Zutun ausbreiten kann.

Ausbruch aus der Virtualisierung und Cloud-Identität

Den höchsten Wert des Monats erreicht CVE-2026-57092 im Windows VMSwitch mit einem CVSS-Score von 9.9. Ein Use-after-free lässt einen Angreifer mit geringen Rechten aus einer virtuellen Maschine ausbrechen und den Host vollständig übernehmen.

Denselben Höchstwert teilen zwei Rechteausweitungen in der Cloud, CVE-2026-45499 in Azure OpenAI und CVE-2026-57100 im Entra Provisioning Service, beide mit CVSS 9.9 und serverseitig behoben.

SharePoint und Exchange

Neben der aktiv ausgenutzten Rechteausweitung bringt SharePoint zwei kritische RCE-Fehler mit. CVE-2026-50522 und CVE-2026-58644 haben jeweils einen CVSS-Score von 9.8 und gehen auf die Deserialisierung nicht vertrauenswürdiger Daten zurück, die ein Angreifer ohne Anmeldung erreichen kann. Die erste Variante haben Forscher bei Pwn2Own Berlin vorgeführt.

In Exchange Server steckt mit CVE-2026-55008 ein Spoofing-Fehler mit einem CVSS-Score von 9.6, ein persistentes Cross-Site-Scripting in Outlook Web Access. Öffnet ein Opfer die präparierte Nachricht, kann der Angreifer eigenen JavaScript-Code im Browser-Kontext ausführen.

Datenbanken und Kernel

SQL Server korrigiert mit CVE-2026-54117 und CVE-2026-54118 zwei Codeausführungen mit einem CVSS-Score von jeweils 8.8. Im Windows-Kernel schließt CVE-2026-49798 eine Rechteausweitung mit einem CVSS-Score von 9.3.

Lebenszyklus und Update-Probleme

Das kumulative Juli-Update KB5101650 räumt ein Problem des Vormonats aus, das nach dem Juni-Update Anwendungen über die OLE-Automatisierung am Start von Office gehindert hat. Zugleich bringt es eigene Known Issues. Eine Härtung erzwingt die Registrierung von TDI-Transporten, wodurch Anwendungen mit Sockets über nicht registrierte Drittanbieter-Transporte ausfallen können. Auf einigen Dell-Geräten mit Intel-Prozessoren hält Microsoft das Update wegen einer gemeldeten Inkompatibilität vorerst zurück.

Fazit zum Patchday

Der Juli 2026 bietet mit Patches für 622 CVEs einen neuen Rekor und verschiebt das Risiko auf die Identitäts- und Netzwerkschicht. Mit CVE-2026-56155 in AD FS und CVE-2026-56164 in SharePoint greifen Angreifer zwei Schwachstellen an, die trotz moderater CVSS-Werte von 7.8 und 5.3 direkt auf Anmeldevertrauen und Rechteausweitung zielen. Die kritischsten Fehler bilden die unauthentifizierten RCE-Sicherheitslücken in DHCP, RDP und einem Netzwerk­treiber mit jeweils 9.8 sowie der VMSwitch-Ausbruch CVE-2026-57092 mit 9.9. Dass ein Kernprodukt wie SharePoint zugleich eine aktiv ausgenutzte und mehrere kritische RCE-Schwachstelle vereint, unterstreicht seine Rolle als lohnendes Ziel.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Ihre Meinung zu den Patchday-News ist gefragt!

Seit vielen Jahren veröffentlichen wir regelmäßig Meldungen zum Microsoft Patchday. Wir würden gerne von Ihnen wissen, wie wir die Meldungen noch nützlicher für Ihre tägliche Arbeit machen können. Welche Infos wünschen Sie sich zusätzlich, was können wir über­sichtlicher machen, was weglassen? Schreiben Sie uns eine E-Mail! Wir lesen jede Zuschrift, versprochen!

(ID:50890529)