Sicherheit & Cyberabwehr

Microsoft Patchday Juli 2026: 622 CVEs, zwei aktiv ausgenutzte Zero-Days

16.07.2026 4 Min. Lesezeit
Alle Artikel

Microsoft hat im Juli 2026 Patches für 622 Sicherheitslücken veröffentlicht, einen neuen Rekord. Darunter sind Dutzende kritische Schwachstellen, der Rest ist überwiegend als wichtig eingestuft. Zwei Schwachstellen werden zum Zeitpunkt der Veröffentlichung bereits aktiv ausgenutzt, eine weitere war vor dem Patch öffentlich bekannt.

Aktiv ausgenutzte Schwachstellen

CVE-2026-56155 beschreibt eine Rechteausweitung in Active Directory Federation Services (AD FS) mit einem CVSS-Score von 7,8. Ein lokal angemeldeter Angreifer mit geringen Rechten kann sich damit Administratorrechte verschaffen. Microsoft hat die Lücke durch sein eigenes Incident-Response-Team bei laufenden Angriffen entdeckt. Da AD FS das Anmeldevertrauen zwischen lokalem Verzeichnis und Entra ID absichert, können Angreifer nach einer Ausnutzung tief in die Identitätsinfrastruktur vordringen.

Parallel wird CVE-2026-56164 in SharePoint Server aktiv angegriffen. Trotz eines CVSS-Scores von nur 5,3 ist die Lücke ernst: Eine fehlende Authentifizierung an einer kritischen Funktion erlaubt es einem unauthentifizierten Angreifer, über das Netz Rechte anzuheben. Betroffen sind SharePoint Server 2016, 2019 und die Subscription Edition. Microsoft empfiehlt, das Antimalware Scan Interface zu aktivieren und den Request Body Scan auf „Full" zu stellen.

CVE-2026-50661, vor dem Patch öffentlich bekannt, beschreibt ein Umgehen der BitLocker-Geräteverschlüsselung mit einem CVSS-Score von 6,1. Der Angriff erfordert physischen Zugriff auf das Gerät.

Kritische Codeausführung über das Netz

Die gefährlichsten Fehler des Monats erlauben entfernte Codeausführung ohne Anmeldung. CVE-2026-50518 im Windows-DHCP-Server (CVSS 9,8) beruht auf einem heap-basierten Pufferüberlauf, der unauthentifiziert über das Netz auslösbar ist. CVE-2026-56190 im Remote Desktop Protocol (CVSS 9,8) nutzt eine nicht initialisierte Ressource: Angreifer können per präpariertem RDP-Verkehr Speicher korrumpieren und Codeausführung übernehmen. CVE-2026-56188 in einem Windows-Server-Netzwerktreiber (CVSS 9,8) ist eine Race Condition mit wurmartigem Ausbreitungspotenzial.

Den höchsten Wert des Monats erreicht CVE-2026-57092 im Windows VMSwitch mit CVSS 9,9. Ein Use-after-free erlaubt es einem Angreifer mit geringen Rechten, aus einer virtuellen Maschine auszubrechen und den Host vollständig zu übernehmen. Denselben Höchstwert teilen zwei Cloud-Schwachstellen: CVE-2026-45499 in Azure OpenAI und CVE-2026-57100 im Entra Provisioning Service, beide serverseitig behoben.

SharePoint, Exchange und Datenbanken

SharePoint bringt neben der aktiv ausgenutzten Lücke zwei weitere kritische RCE-Fehler mit. CVE-2026-50522 und CVE-2026-58644 (je CVSS 9,8) basieren auf der Deserialisierung nicht vertrauenswürdiger Daten und sind ohne Anmeldung erreichbar. Die erste Variante wurde von Forschern bei Pwn2Own Berlin vorgeführt.

In Exchange Server steckt mit CVE-2026-55008 ein persistentes Cross-Site-Scripting in Outlook Web Access (CVSS 9,6). SQL Server schließt zwei Codeausführungen (CVE-2026-54117 und CVE-2026-54118, je CVSS 8,8), der Windows-Kernel erhält einen Patch für CVE-2026-49798 (CVSS 9,3).

Update-Hinweise

Das kumulative Juli-Update KB5101650 behebt ein Problem des Vormonats, das nach dem Juni-Update Anwendungen über OLE-Automatisierung am Start von Office gehindert hatte. Gleichzeitig bringt es neue Known Issues: Eine Härtung erzwingt die Registrierung von TDI-Transporten, was Anwendungen mit nicht registrierten Drittanbieter-Transporten betreffen kann. Auf einigen Dell-Geräten mit Intel-Prozessoren hält Microsoft das Update wegen einer gemeldeten Inkompatibilität vorerst zurück.