Microsoft hat in dieser Woche ein Paket von Korrekturen veröffentlicht, die eine überraschende Summe korrigiert 169 Sicherheitsversagen in seinem Produktkatalog, einschließlich mindestens einer Sicherheitslücke, die bereits in der Natur genutzt wird. Die Figur macht diesen monatlichen Patch zu einem der größten in der jüngsten Firmengeschichte, kurz hinter dem Rekord, der im Oktober 2025 erreicht wurde.
Von diesen 169 gemeldeten Fehlern wurde die überwiegende Mehrheit als von hoher Bedeutung beschrieben: 157 mit Schwere "Important", acht als "Kritisch", drei als "Moderne", und eins als "Low". Wie bei der Art der Fehler, die Schwachstellen, die erlauben Skalieren von Privilegien(93 Fälle), gefolgt von der Informationsfilterung (21), der Ferncodeausführung (21), der Sicherheitsausbrüche (14), der Supplantierung (10) und der Denial of Service (9). Die Liste enthält sogar vier CVE, die nicht von Microsoft direkt sind, aber die verwandte Komponenten oder Projekte wie AMD, Node.js, Windows Secure Boot und Git für Windows beeinflussen.
Die Korrekturen beinhalten auch Updates, die bereits auf dem Edge-Browser basierend auf Chromium aus dem letzten Monat Patch angewendet wurden, was die Gesamtreichweite dieses Patchzyklus erhöht. Analysten wie Satnam Narang von Tenable haben darauf hingewiesen, dass der Trend von 2026 auf eine besorgniserregende Normalität zeigt: mehr als tausend CVE pro Jahr in monatlichen Updates, mit einer hervorragenden Vorverantwortung von Privileg Hebefehler in den letzten Monaten. Um diese Perspektive zu kontrastieren und die offiziellen Microsoft Guides zu konsultieren, können Sie in Ihrem Sicherheitswarnzentrum in MSRC oder der Microsoft Security Update Anleitung auf Microsoft Lernen.
Der Fehler, der bereits mit bösartigen Aktivitäten in der realen Welt verbunden ist, ist derjenige, der als CVE-2026-32201, eine Subplantierunfähigkeit in Microsoft SharePoint Server, die Microsoft als Problem der Eingabevalidierung beschreibt. Dies ermöglicht es einem Angreifer, die Präsentation von Inhalten oder Schnittstellen innerhalb von SharePoint zu täuschen, was dazu führen kann, dass Nutzer Informationen empfangen oder ändern, die legitim erscheinen. Da die Operation die Vertraulichkeit und Integrität der Daten beeinflussen kann, aber ohne Unterbrechung der Verfügbarkeit, zielt die Schwerkraft darauf ab, nachfolgende Angriffe durch gezielte Täuschung zu erleichtern.
Der Eintrag dieses Versagens in den Katalog bekannter ausgebeuteter Schwachstellen der US-Infrastruktur- und Cybersicherheitsagentur. USA. ( CISA KEV) impliziert, dass die Bundesbehörden das Problem vor einer bestimmten Frist mildern müssen. Diese Einbeziehung ist ein klarer Indikator, dass Sicherheitsbeamte die Anwendung von Patches und kompensatorischen Kontrollen in Unternehmens- und Regierungsumgebungen beschleunigen müssen.
Ein weiteres Problem, das Aufmerksamkeit erregt hat, ist eine Schwachstelle erweiterte Privilegien in Microsoft Defender erzielt als CVE-2026-33825, öffentlich erklärt zur gleichen Zeit, dass der Patch kam. Microsoft erklärt, dass ein Angreifer mit autorisiertem Zugriff auf das System von unzureichenden Zugriffskontrollen profitieren könnte, um höhere Privilegien zu erreichen; die Teams, die Defend weiterbehalten, werden in der Regel automatisch korrigiert, weil die Plattform standardmäßig kontinuierlich aktualisiert wird. In Maschinen, in denen Defender deaktiviert ist, wäre Schwäche nicht ausnutzbar.
Diese Korrektur bezieht sich auf eine Explosion, die als "BlueHammer" bekannt ist, deren Code im April 2026 in GitHub von einem Forscher veröffentlicht wurde, der nach einem Konflikt im Offenlegungsprozess mit Microsoft als "Chaotic Eclipse" unterzeichnet hat. Laut der verfügbaren technischen Analyse arbeitete BlueHammer an dem Update- und Reparaturmechanismus des Defenders, indem er die Snapshots von Volume Shadow Copy nutzte, um geschützte Protokolldateien zu entlarven und so das Lesen sensibler Datenbanken und den temporären Austausch von Passwort-Hasen zu ermöglichen. Obwohl das öffentliche Repository den Beginn der Sitzung erforderte und seitdem ein Teil der Explosion aufhörte, nach mehreren Forschern zu funktionieren, beschleunigte die Entstehung des öffentlichen Codes die Notwendigkeit des Parkens.
Forscher von Unternehmen wie Cyderes und öffentlichen Kommentaren von unabhängigen Forschern haben beschrieben, wie die explosionsgeketteten legitimen Windows-Funktionalitäten - Cloud-Dateien' Callbacks und Dateiblöcke - Prozesse zu halten und empfindliches Material zu einem bestimmten Zeitpunkt des Defender-Update-Flows zugänglich zu lassen. In der Praxis könnte ein erfolgreicher Angreifer Zugang zur SAM-Basis gewinnen, NTLM hashes entschlüsseln und auf die SYSTEM-Ebene steigen, sowie den ursprünglichen Zustand wiederherzustellen, um die Erkennung schwierig zu machen.
Mit den größten potenziellen Auswirkungen auf Internet-verbundene Umgebungen ist die Remote-Code Ausführung Schwachstelle im IKE (Internet Key Exchange) v2 Service, genannt als CVE-2026-33824 und mit einem fast maximalen CVSS-Score von 9.8. IKEv2 wird verwendet, um sichere Tunnel in VPN und IPsec zu verhandeln und mit unzuverlässigen Netzwerken zu betreiben, ist oft in vielen Geschäftsbereichen dem externen Verkehr ausgesetzt. Sicherheitsforscher haben gewarnt, dass der Fehler es einem Remote Agent ermöglicht, speziell aufgebaute Pakete zu senden und Code ohne vorherige Authentifizierung auszuführen, was im schlimmsten Fall die vollständige Einnahme von exponierten Systemen bedeuten könnte.
Experten von Erkennungs- und Antwortunternehmen haben betont, dass CSR-ähnliche Sicherheitslücken, die keine Benutzerinteraktion erfordern, für Internet zugängliche Dienste besonders gefährlich sind, da sie den automatischen Betrieb und die seitliche Bewegung in Unternehmensnetzwerken erleichtern. Für IT-Ausrüstung ist die Empfehlung, die aus der Schwerkraft der Erkenntnis kommt, den Schutz der Maschinen zu priorisieren, die IKEv2 nach außen anbieten und die Patches mit der maximalen Geschwindigkeit aufbringen.
Die Korrekturen in diesem Monat spiegeln auch einen Trend wider, in dem Privileg Heben von Fehlern dominieren den Satz von Abhilfemaßnahmen während Ferncodeausführungen proportional gefallen sind. Dies bedeutet nicht, dass das Risiko niedriger ist: Im Gegenteil, eine lokale Explosion, die Sicherheitsbarrieren überspringen lässt, kann der erste Schritt für eine umfassendere und schwierige Eindämmung von Kampagnen sein.
Wenn Sie Windows-Systeme oder Firmendienste basierend auf SharePoint, Defend oder VPN / IPsec verwalten, ist es angezeigt, jetzt zu handeln. Bewerben Sie offizielle Microsoft-Updates so schnell wie möglich; in Umgebungen, in denen das Patch nicht sofort angezeigt werden kann, kann die E-Mail mit Microsoft technischen Mitteilungen und Minderungsempfehlungen konsultiert werden bei MSRC und in der Update-Führung. Für Organisationen, die regulatorische oder Sicherheitsanforderungen erfüllen müssen, hilft die Überprüfung der CISA-Liste bekannter ausgenutzter Schwachstellen und deren Korrekturzeiten, die Anstrengungen zu priorisieren: https: / / www.cisa.gov / Wissens-exploited-vulnerabilities-catalog.
Neben dem Patch sollten Zugriffsprotokolle überprüft, ungewöhnliche Verhaltensüberwachung und Privilegien und Netzsegmentierungskontrollen verstärkt werden, um die Auswirkungen einer möglichen Operation zu begrenzen. Defenders automatische Updates bieten eine praktische Barriere für einige Bedrohungen, aber tiefe Sicherheit bleibt die beste Verteidigung gegen komplexe Angriffsketten.
Für diejenigen, die die Analyse und den Kontext vertiefen wollen, halten die Sicherheitslabore und spezialisierte Unternehmen technische Analysen und nützliche Kontextualisierungen zu diesen Erkenntnissen aufrecht. Publikationen und Blogs von Unternehmen wie Rapid7, Ausschreibung oder Aktion 1 Sie bieten oft technische Bedenken und praktische Empfehlungen, die offizielle Hinweise ergänzen.
Kurz gesagt, dieser Patch-Zyklus ist eine Erinnerung, dass die Angriffsfläche weiter wächst und dass agile Update-Management, zusammen mit Praktiken von reduzierten Privilegien und konstanter Sicht, sind unerlässlich. Dies ist nicht die Zeit, eine dieser Korrekturen zu unterschätzen: einige Angriffs-Eintrittspunkte, die einmal begangen, erlauben Eskalation und Bewegungen, die einen kleinen Zwischenfall in eine schwere Lücke verwandeln.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...