Microsoft Patch Tuesday Mai 2026: 137 Schwachstellen

Der Mai-Patchday von Microsoft brachte ein umfangreiches Sicherheitsupdate mit 137 behobenen Schwachstellen. Besonders kritisch sind zwei Azure-Schwachstellen mit CVSS-Scores von 9.9, die Unternehmen umgehend angehen sollten. Glücklicherweise meldete Microsoft keine aktiv ausgenutzten Zero-Day-Lücken.

Überblick: Mai 2026 Patch Tuesday

• Gesamtzahl: 137 Schwachstellen
• Kritisch: 13 Schwachstellen mit CVSS ≥ 9.0
• Zero-Days: Keine aktiv ausgenutzt

CVE-2026-33109: Azure Managed Instance for Apache Cassandra RCE

Mit CVSS 9.9 (Kritisch) ermöglicht diese Schwachstelle Remote Code Execution in Azure Managed Instance for Apache Cassandra. Ein Angreifer mit autorisiertem Zugriff kann beliebigen Code über das Netzwerk ausführen.

CVE-2026-42823: Azure Logic Apps Rechteausweitung

Ebenfalls CVSS 9.9 – ermöglicht es einem Angreifer mit niedrigen Berechtigungen, seine Privilegien im Kontext von Azure Logic Apps zu erhöhen.

Weitere kritische Schwachstellen

CVE-2026-42898 (Microsoft Dynamics 365): CVSS 9.9 – Angreifer mit Basiszugriff kann Remote-Code-Ausführung ohne Benutzerinteraktion erreichen.

CVE-2026-41089 (Windows Netlogon): Kompromittierter Domänen-Controller bedeutet kompromittierte Domäne.

CVE-2026-41096 (Windows DNS Client): Nicht authentifizierte Remote-Code-Ausführung auf fast allen Windows-Systemen.

Handlungsempfehlungen

1. Priorisieren Sie kritische Updates: Beginnen Sie mit Netlogon und DNS Client
2. Überprüfen Sie Azure-Umgebungen auf ungewöhnliche Aktivitäten
3. Planen Sie beschleunigtes Patch-Management für ausnutzbare Schwachstellen
4. Stellen Sie sicher, dass Domänen-Controller zusätzlich geschützt sind

Quellen und weiterführende Informationen 📚

• Microsoft Security Response Center
• CyberScoop Analysis
• Zero Day Initiative Review

Fazit

Der Mai-Patchday 2026 zeigt erneut die Komplexität moderner IT-Infrastrukturen. Besonders die Azure-Cloud-Dienste erfordern verstärkte Aufmerksamkeit mit zwei kritischen Schwachstellen (CVSS 9.9). Unternehmen sollten ein strukturiertes Risiko-Management anwenden: Kritische Windows-Komponenten sofort patchen, Azure-Umgebungen überwachen und automatische Updates für verwaltete Cloud-Dienste verifizieren.