Microsofts Sicherheitskrise: Kritische Schwachstellen verdoppelt

Die Zahl kritischer Sicherheitslücken in Microsoft-Produkten ist 2025 sprunghaft gestiegen – trotz rückläufiger Gesamtzahl gemeldeter Fehler. Der aktuelle Microsoft Vulnerabilities Report 2026 zeichnet ein alarmierendes Bild: Während der Konzern insgesamt 1.273 Schwachstellen dokumentierte (ein Rückgang von 1.360 im Vorjahr), schnellte die Zahl kritischer Lücken von 78 auf 157 nach oben.

Besonders betroffen sind Cloud-Dienste und Produktivitätsanwendungen. Bei Azure und Dynamics 365 stieg die Zahl kritischer Schwachstellen von vier auf 37 – ein Anstieg um das Neunfache. Microsoft Office verzeichnete sogar einen Zuwachs von 234 Prozent bei den Gesamtschwachstellen, wobei kritische Lücken von drei auf 31 explodierten.

Sicherheitsexperten sehen einen klaren Trend: Microsoft gelingt es zwar zunehmend, weniger gefährliche Schwachstellen zu identifizieren und zu schließen. Doch die Konzentration hochriskanter Sicherheitslücken – insbesondere sogenannter Elevation-of-Privilege-Fehler (EoP) – macht inzwischen rund 40 Prozent aller gemeldeten CVEs aus.

Da Sicherheitsexperten immer mehr hochriskante Lücken in Windows 11 entdecken, wird IT-Wissen für Privatanwender unerlässlich. Warum Technik-Einsteiger und Profis gleichermaßen auf die Expertise von „Mr. Windows“ Manfred Kratzl schwören, erfahren Sie in diesem kostenlosen Report. Gratis-Report: Windows-11-Probleme selbst lösen

MiniPlasma: Ein alter Fehler kehrt zurück

Ein besonders brisantes Beispiel liefert die Schwachstelle „MiniPlasma" (CVE-2020-17103) . Obwohl Microsoft den Fehler im Windows Cloud Files Mini Filter Driver angeblich bereits Ende 2020 behoben hatte, zeigte ein Forscher unter dem Pseudonym „Chaotic Eclipse" kürzlich: Auf vollständig gepatchten Windows-11-Systemen ist die Lücke nach wie vor ausnutzbar.

Der Exploit erlaubt Angreifern, SYSTEM-Rechte zu erlangen – also die volle Kontrolle über den betroffenen Rechner. Die Veröffentlichung ist Teil einer größeren Welle von Sicherheitsforschung, die auch Schwachstellen mit den Namen BlueHammer und RedSun umfasst. Die Behörden in Hongkong (GovCERT.HK) haben mittlerweile eine Hochrisiko-Warnung herausgegeben, da öffentlich verfügbarer Proof-of-Concept-Code nahezu alle modernen Windows-Versionen betrifft, einschließlich Server 2019 und neuer.

BitLocker-Knacken per USB-Stick

Auch die physische Sicherheit gerät zunehmend unter Druck. Die Schwachstelle „YellowKey" erlaubt Angreifern mit physischem Zugriff, die BitLocker-Verschlüsselung auf Windows 11 sowie Server 2022 und 2025 zu umgehen. Die Methode: Spezielle Dateien auf einem USB-Stick oder der EFI-Partition platzieren, dann den Boot-Vorgang manipulieren und in die Windows-Wiederherstellungsumgebung einsteigen. Microsoft prüft den Vorfall – einige Forscher bezeichnen die anhaltende Existenz solcher Einstiegspunkte bereits als potenzielle Sicherheitslücke.

Exchange unter Beschuss

Die Sicherheitslage bei Microsoft Exchange bleibt angespannt. Die Behörden haben CVE-2026-42897 in den Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen. Der Fehler betrifft Exchange Server 2016, 2019 und die Subscription Edition. Angreifer können darüber Benutzersitzungen über Outlook Web Access (OWA) kapern – ohne Passwort.

Der Angriffsvektor: Eine manipulierte E-Mail, die beim Öffnen die Schwachstelle auslöst. Microsoft hat zwar den Exchange Emergency Mitigation Service (EEMS) aktiviert, doch der Fix verursacht offenbar Nebenwirkungen: Kalenderdruck funktioniert nicht mehr, Inline-Bilder werden nicht angezeigt. Exchange Online ist nicht betroffen, doch Unternehmen mit lokalen Installationen müssen sofort handeln.

Authenticator in der Kritik

Selbst Microsofts eigene Sicherheitslösungen bleiben nicht verschont. Mitte Mai 2026 wurde eine kritische Schwachstelle in der Microsoft Authenticator-App entdeckt. Sie könnte Angreifern Zugriff auf geschützte Konten ermöglichen. Microsoft empfiehlt dringend das Update auf Android 6.2605.2973 oder iOS 6.8.47 und höher.

Die kritische Schwachstelle in der Authenticator-App zeigt deutlich, wie verwundbar Android-Smartphones ohne aktuelle Software sind. Da ein veraltetes System wie eine offene Haustür für Cyberkriminelle wirkt, zeigt dieser kostenlose Report, wie Sie Sicherheitslücken sofort schließen. Kostenlosen Android-Sicherheits-Ratgeber herunterladen

Parallel dazu warnt das Unternehmen vor der Schadsoftware „JSceal" , die über raubkopierte Software Windows-Nutzer infiltriert. Ihr Ziel: Kryptowährungen stehlen und Einmalpasswörter von synchronisierten Mobilgeräten abfangen.

Das Ende der SMS-Codes

Microsoft zieht Konsequenzen aus der Sicherheitsmisere. Noch diese Woche bestätigte der Konzern, SMS-basierte Codes für persönliche Konten schrittweise abzuschaffen. SMS gelten als eine der Hauptquellen für Betrug – SIM-Swapping und Abhörangriffe sind an der Tagesordnung.

Die Zukunft gehört den Passkeys. Diese nutzen Biometrie und hardwaregestützte PINs. Schätzungen zufolge sind weltweit bereits fünf Milliarden Passkeys im Einsatz, rund 90 Prozent der Internetnutzer kennen die Technologie. Microsoft setzt auf Windows Hello und Fingerabdruckscanner, um eine phishing-resistente Umgebung zu schaffen.

Die Technik basiert auf den Standards FIDO2 und WebAuthn und macht übertragbare Geheimnisse überflüssig. Google testet derweil das Credential Exchange Protocol (CXP) für Android. Microsofts Strategie zielt darauf ab, Passkeys tief in das Windows-Ökosystem zu integrieren. Offen bleibt die Frage nach Systemen ohne biometrische Hardware – etwa virtuellen Maschinen. Hier fehlt bislang ein klarer Ausweichmechanismus.

Angreifer nutzen Cloud-Funktionen gegen sich selbst

Die Dringlichkeit der Sicherheitswende unterstreichen die Aktivitäten der Gruppe Storm-2949. Microsoft Threat Intelligence dokumentierte, wie die Angreifer kompromittierte Identitäten für Cloud-weite Einbrüche nutzten. Über manipulierte Self-Service-Passwortzurücksetzungen (SSPR) und Social Engineering drangen sie in Microsoft 365, Azure App Services und Key Vaults ein. Besonders perfide: Die Gruppe nutzte legitime Cloud-Management-Funktionen für die laterale Bewegung und zielte gezielt auf IT-Mitarbeiter und Führungskräfte.

KI als Jäger

Microsoft setzt zunehmend auf automatisierte Abwehr. Das MDASH-System – ein multi-modaler agentischer Scanner – entdeckte allein für den Mai-2026-Patch-Tuesday 16 neue CVEs. Darunter kritische Remote-Code-Execution-Lücken im tcpip.sys-Treiber (CVE-2026-33827) und bei IKEv2 (CVE-2026-33824). In Testumgebungen erreichte MDASH eine Erkennungsrate von 100 Prozent bei historischen Schwachstellen.

Ausblick für Unternehmen

Die Verdopplung kritischer Schwachstellen zeigt die Komplexität moderner Software-Ökosysteme. Microsofts Weg zur Zero-Trust-Architektur wird die Abschaffung alter Verfahren wie SMS-Codes beschleunigen. Doch die Wiederkehr von Fehlern wie „MiniPlasma" offenbart: Alte Codebasen bleiben ein erhebliches Risiko.

Marktforscher prognostizieren, dass die Schäden durch mobile und Cloud-basierte Cyberkriminalität bis Ende 2026 auf 442 Milliarden Euro ansteigen könnten. Die FIDO Alliance und andere Gremien arbeiten bereits an neuen Authentifizierungsprotokollen für KI-Agenten. Für Unternehmen gilt: Die aktuellen Privilegien-Eskalationslücken müssen umgehend geschlossen werden – und der Umstieg auf hardwaregestützte Identitätsprüfung ist überfällig.

de | wissenschaft | 69375215 |