Microsoft veröffentlicht März-2026-Sicherheitsupdates: 77 Schwachstellen behoben

Sicherheitsupdates für Windows und weitere Produkte

Microsoft hat im Rahmen des Patch Tuesday März 2026 Sicherheitsupdates für mindestens 77 bekannte Schwachstellen in Windows und anderen Produkten veröffentlicht. Im Gegensatz zum Vormonat, in dem fünf Zero-Day-Lücken behoben wurden, gibt es diesmal keine akuten Bedrohungen dieser Art. Dennoch sollten Unternehmen und Nutzer die Patches zeitnah installieren, da einige der Schwachstellen als kritisch eingestuft werden.

Zwei öffentlich bekannte Schwachstellen im Fokus

Zwei der behobenen Sicherheitslücken waren bereits vor der offiziellen Veröffentlichung bekannt. Dazu gehört CVE-2026-21262, eine Schwachstelle in SQL Server 2016 und neueren Versionen, die es Angreifern ermöglicht, ihre Rechte auf Systemebene zu erhöhen. Laut Adam Barnett von Rapid7 kann ein autorisierter Angreifer über das Netzwerk Administratorrechte erlangen. Die Schwachstelle hat einen CVSS-Wert von 8,8 und erfordert zwar bestimmte Voraussetzungen, sollte aber dennoch priorisiert werden.

Eine weitere öffentlich bekannte Lücke ist CVE-2026-26127 in .NET-Anwendungen. Diese kann zu einem Denial-of-Service führen, indem sie einen Absturz auslöst. Bei einem Neustart des Dienstes könnten weitere Angriffsvektoren entstehen.

Kritische Office-Schwachstellen behoben

Wie üblich enthält der Patch Tuesday auch kritische Sicherheitslücken in Microsoft Office. CVE-2026-26113 und CVE-2026-26110 ermöglichen Remote-Code-Ausführung, sobald eine manipulierte Nachricht in der Vorschau angezeigt wird. Satnam Narang von Tenable weist darauf hin, dass 55 Prozent der im März behobenen Schwachstellen Privilegieneskalationen betreffen. Sechs davon wurden als „wahrscheinlich ausnutzbar“ eingestuft.

Ausgewählte kritische Schwachstellen:

• CVE-2026-24291: Falsche Berechtigungszuweisungen in der Windows Accessibility Infrastructure (CVSS 7,8)
• CVE-2026-24294: Unsichere Authentifizierung im SMB-Server (CVSS 7,8)
• CVE-2026-24289: Hochriskante Speicherkorruption und Race-Condition (CVSS 7,8)
• CVE-2026-25187: Schwachstelle im Winlogon-Prozess, entdeckt von Google Project Zero (CVSS 7,8)

AI-entdeckte Schwachstelle mit CVSS-Wert 9,8

Besondere Aufmerksamkeit verdient CVE-2026-21536, eine kritische Remote-Code-Ausführungslücke in der Microsoft Devices Pricing Program-Komponente. Diese wurde von XBOW, einem autonomen KI-Penetrationstest-Agenten, entdeckt. XBOW gehört zu den Top-Teilnehmern der Hacker One Bug-Bounty-Plattform und hat die Schwachstelle ohne Zugriff auf den Quellcode identifiziert.

„Obwohl Microsoft die Schwachstelle bereits behoben hat, zeigt dies, wie KI-gestützte Tools komplexe Sicherheitslücken immer schneller erkennen können. Dies unterstreicht die wachsende Bedeutung von KI in der Schwachstellenforschung.“
Ben McCarthy, Lead Cyber Security Engineer bei Immersive

Empfehlungen für Nutzer und Unternehmen

Microsoft empfiehlt Nutzern und Administratoren, die Updates so schnell wie möglich zu installieren. Besonders betroffen sind Unternehmen mit älteren Windows-Versionen oder spezifischen Serverkonfigurationen. Die automatischen Windows-Updates sollten aktiviert sein, um zukünftige Sicherheitslücken zeitnah zu schließen.