Microsoft: Über 100 Sicherheitslücken im ersten Patch-Tuesday 2026 geschlossen

Microsoft hat mit seinem ersten Sicherheitsupdate des Jahres gleich einen Großangriff auf kritische Schwachstellen gestartet. Die Patches beheben mehr als 100 Lücken in Windows und anderen Produkten – darunter gefährliche Fehler in zentralen Sicherheitskomponenten und eine bereits aktiv ausgenutzte Zero-Day-Lücke.

Der Januar-Release gehört zu den umfangreichsten der letzten Monate. Insgesamt wurden zwischen 112 und 115 Sicherheitslücken geschlossen, die Windows, Office, SharePoint Server und SQL Server betrafen. Acht davon stuft Microsoft als kritisch ein. IT-Administratoren weltweit sind nun gefordert: Die Updates müssen priorisiert eingespielt werden, um Risiken wie Remote-Code-Ausführung und Rechteausweitung zu minimieren.

Im Fokus steht eine kritische Remote-Code-Ausführungs-Schwachstelle (CVE-2026-20854) im Local Security Authority Subsystem Service (LSASS). Dieser Prozess ist das Herzstück der Windows-Sicherheit: Er erzwingt Sicherheitsrichtlinien und verwaltet die Benutzerauthentifizierung. Ein erfolgreicher Angriff könnte es einem bereits authentifizierten Angreifer mit niedrigen Berechtigungen ermöglichen, beliebigen Code auszuführen. Die Folgen wären verheerend: Diebstahl von Zugangsdaten, seitliche Bewegung im Netzwerk und letztlich die vollständige Kompromittierung einer gesamten Firmendomäne.

Unternehmen, die jetzt nicht schnell und systematisch reagieren, riskieren Datenverluste und dauerhafte Hintertüren im Netzwerk. Ein aktueller Gratis-Report erklärt praxisnah, welche Sofortmaßnahmen IT‑Teams jetzt priorisieren sollten — von Patch-Tests bis zu effektiven Erkennungsregeln für LSASS‑Anomalien. Ideal für Sicherheitsverantwortliche, die ohne großen Mehraufwand die Angriffsfläche reduzieren wollen. Jetzt Cyber‑Security Awareness Trends (Gratis‑E‑Book) herunterladen

Die Lücke mit einem CVSS-Score von 7,5 resultiert aus einem Use-After-Free-Speicherfehler. Speziell präparierte Daten während einer Authentifizierungsanfrage könnten den LSASS-Prozess dazu bringen, auf ungültigen Speicher zuzugreifen. Microsoft schätzt die Ausnutzung zwar als „weniger wahrscheinlich“ ein – doch Sicherheitsexperten warnen: Jede Schwachstelle in LSASS ist eine ernste Bedrohung. Schließlich geht es um die Integrität des gesamten Authentifizierungsgerüsts.

Sicherheitsgrenze der VBS-Enclave durchbrochen

Eine weitere kritische Lücke (CVE-2026-20876) betrifft die Virtualization-Based Security (VBS) Enclave. Dieser Rechteausweitungsfehler könnte eine fundamentale Sicherheitsgrenze durchbrechen. VBS nutzt Hardware-Virtualisierung, um isolierte Speicherbereiche zu schaffen. Diese „Enklaven“ schützen sensible Daten wie Credentials – selbst wenn der Windows-Kernel kompromittiert ist.

Der auf einem Heap-basierten Pufferüberlauf beruhende Fehler könnte von einem lokalen Angreifer mit hohen Berechtigungen ausgenutzt werden. Im Erfolgsfall würde sich der Zugriff auf Virtual Trust Level 2 (VTL2) erhöhen – ein Ausbruch aus der Sicherheitsenklave. Das hätte fatale Folgen: Angreifer könnten fortschrittliche Sicherheitskontrollen umgehen, tiefe und anhaltende Zugänge etablieren und sich der Entdeckung entziehen. Auch hier gilt: Trotz komplexer Angriffsvoraussetzungen ist das Patchen oberste Priorität.

Zero-Day-Lücke bereits aktiv im Umlauf

Besondere Dringlichkeit verleiht dem Update eine bereits aktiv ausgenutzte Zero-Day-Lücke (CVE-2026-20805). Die Schwachstelle im Desktop Window Manager (DWM) ermöglicht die Offenlegung von Speicheradressen. Obwohl mit einem CVSS-Score von 5,5 nur als „mittel“ eingestuft, ist sie ein gefährliches Werkzeug in der Angriffskette. Die gewonnenen Informationen helfen, Sicherheitsmechanismen wie Address Space Layout Randomization (ASLR) zu umgehen. Das macht die zuverlässige Ausnutzung anderer, schwerwiegenderer Lücken erst möglich.

Die US-Cybersicherheitsbehörde CISA hat die Lücke bereits in ihren Katalog bekannter, ausgenutzter Schwachstellen aufgenommen. Bundesbehörden müssen den Patch bis Anfang Februar 2026 einspielen – ein klares Signal an alle Unternehmen, nicht zu zögern.

Herausforderung für IT-Teams: Priorisierung ist alles

Der Januar-Patch-Tuesday unterstreicht die anhaltende und sich entwickelnde Bedrohungslage für Unternehmen. Lücken in LSASS und VBS-Enclave sind besonders heikel, weil sie die Grundfesten der Windows-Sicherheit angreifen. Während ein LSASS-Kompromiss das Authentifizierungsgewebe eines ganzen Netzwerks auflösen kann, untergräbt ein VBS-Enclave-Einbruch die hardwaregestützte Isolation.

Die schiere Menge an Patches stellt IT- und Sicherheitsteams vor eine große operative Herausforderung. Die Priorisierung ist entscheidend. Experten raten:
1. Zuerst die aktiv ausgenutzte DWM-Lücke schließen.
2. Danach die kritischen Remote-Code-Ausführungs- und Rechteausweitungsfehler angehen – insbesondere in Kernkomponenten wie LSASS, VBS und Microsoft Office.

Mehrere kritische RCE-Lücken in Office-Anwendungen könnten bereits durch das Öffnen eines manipulierten Dokuments oder die Vorschau in Outlook ausgelöst werden.

Ausblick: Agiles Patch-Management wird zur Überlebensfrage

Die Flut kritischer Patches wird nicht abreißen. Angreifer suchen kontinuierlich nach Schwachstellen in Standardsoftware. Unternehmen brauchen daher ein robustes und agiles Patch-Management. Die oberste Priorität für alle Windows-Administratoren lautet jetzt: Die Januar-Updates umgehend testen und einspielen.

Doch Patchen allein reicht nicht. Sicherheitsteams sollten Systeme mit strikter Rechteverwaltung konfigurieren, um die Auswirkungen potenzieller Angriffe zu begrenzen. Die Überwachung auf anormale Aktivitäten im Zusammenhang mit LSASS-Authentifizierung oder VBS-Enclave-Prozessen kann als Frühwarnsystem dienen. Bei Bedrohungen, die den Kern des Betriebssystems ins Visier nehmen, bleibt nur eine tief gestaffelte Verteidigung: rechtzeitiges Patchen, proaktive Überwachung und strenge Zugangskontrollen müssen Hand in Hand gehen.

PS: Wenn Sie Ihre Schutzmaßnahmen schnell verbessern wollen, bietet der Gratis-Report praxisnahe Maßnahmen zur Sensibilisierung von Teams, zur Priorisierung von Patches und zu einfachen technischen Kontrollen, die kurzfristig Schutz bringen. Ideal für IT‑Leiter und Sicherheitsverantwortliche, die sofort handeln müssen. Gratis‑Cyber‑Security‑Guide jetzt anfordern