Microsoft behebt 137 Sicherheitslücken im Mai-Patch Tuesday – 13 davon kritisch

Microsoft hat im Rahmen des Patch Tuesday im Mai insgesamt 137 Sicherheitslücken in seinen Produkten und Systemen behoben. Trotz der hohen Anzahl an Schwachstellen meldete das Unternehmen keine aktiv ausgenutzten Zero-Days.

Dreizehn der gemeldeten Lücken wurden mit dem höchsten Schweregrad „kritisch“ (CVSS 9.0–10.0) eingestuft. Besonders betroffen sind:

• Azure: Zwei kritische Lücken (CVE-2026-33109 und CVE-2026-42823)
• Microsoft Dynamics 365: Eine kritische Schwachstelle (CVE-2026-42898) mit einem CVSS-Score von 9,9

Darüber hinaus stufte Microsoft 13 Lücken als „wahrscheinlich ausnutzbar“ ein, während 113 weitere als „weniger wahrscheinlich“ oder „unwahrscheinlich ausnutzbar“ galten.

Trend zu mehr entdeckten Schwachstellen durch KI

Die hohe Anzahl an behobenen Lücken spiegelt einen Trend wider, den Forscher seit einiger Zeit beobachten: Der Einsatz von Künstlicher Intelligenz bei der Suche nach bisher unentdeckten Codefehlern. Zwar wurden nicht alle Lücken durch KI entdeckt, doch selbst bei manueller Prüfung könnte KI eine Rolle bei der Identifizierung gespielt haben.

„Es ist wahrscheinlich, dass KI zumindest bei der Erstellung der Einreichungen eine Rolle spielte – selbst wenn sie nicht direkt die Schwachstelle fand.“
Dustin Childs, Trend Micro Zero Day Initiative

Besonders gefährliche Lücken in Windows DNS und Netlogon

Experten heben vor allem zwei kritische Schwachstellen in Windows hervor:

• CVE-2026-41096: Eine schwerwiegende Sicherheitslücke in Windows DNS, die es Angreifern ermöglicht, ohne Authentifizierung oder Benutzerinteraktion Code ferngesteuert auszuführen. Da der DNS-Client auf fast allen Windows-Systemen läuft, ist die Angriffsfläche enorm groß. Ein Angreifer, der DNS-Antworten manipulieren kann, könnte so unauthentifizierten Remote-Code in Unternehmen ausführen.
• CVE-2026-41089: Ein Defekt in Windows Netlogon, der ebenfalls unauthentifizierte Remote-Code-Ausführung ermöglicht. Laut Experten handelt es sich um die „bedeutsamste Lücke mit höchster Priorität für Patches“. Ein kompromittierter Domänencontroller gefährdet die gesamte Domäne.

„Ein kompromittierter Domänencontroller bedeutet eine kompromittierte Domäne.“
Dustin Childs, Trend Micro Zero Day Initiative

Microsoft Dynamics 365: Kritische Lücke mit hohem Risiko

Jack Bicer, Director of Vulnerability Research bei Action1, warnt vor der kritischen Lücke CVE-2026-42898 in Microsoft Dynamics 365:

„Da keine Benutzerinteraktion erforderlich ist und die Lücke über den ursprünglichen Sicherheitsbereich hinausgehen kann, stellt sie ein ernstes Risiko für Unternehmen dar. Ein Angreifer mit nur grundlegendem Zugriff könnte einen Anwendungsserver in eine Remote-Code-Ausführungsplattform verwandeln.“

Die Ausnutzung dieser Schwachstelle könnte zu schwerwiegenden Folgen führen:

• Offenlegung von Kundendaten und Finanzinformationen
• Störung operativer Workflows
• Kompromittierung verbundener Unternehmenssysteme (z. B. Identitätsdienste, Datenbanken)
• Mögliche Ausweitung auf die gesamte IT-Infrastruktur

„CRM-Umgebungen sind oft eng mit anderen kritischen Systemen verknüpft. Eine erfolgreiche Ausnutzung könnte daher zu einer umfassenden Kompromittierung und erheblichen Betriebsstörungen führen.“
Jack Bicer, Action1

Die vollständige Liste aller behobenen Sicherheitslücken ist im Microsoft Security Response Center einsehbar.