Microsoft schließt im Juli 2026 hunderte Sicherheitslücken, dutzende davon kritisch, der Rest überwiegend wichtig und wenige moderat. Zwei Schwachstellen greifen Angreifer bereits aktiv an, eine dritte war vor dem Patch öffentlich bekannt.
Beim Juli Patchday hat Microsoft insgesamt 622 Schwachstellen behoben, ein neuer Rekord.
(Bild: Dall-E / Vogel IT-Medien / KI-generiert)
Bevor Microsoft die Schwachstelle bei seinem Juli Patchday schließen konnte, nutzen Angreifer CVE-2026-56155 bereits aktiv aus. Die Sicherheitslücke beschreibt eine Rechteausweitung in Active Directory Federation Services (AD FS) mit einem CVSS-Score von 7.8. Ursache ist eine unzureichend granulare Zugriffskontrolle, über die ein lokal angemeldeter Angreifer mit geringen Rechten auf Administratorrechte springen kann. AD FS sichert das Anmeldevertrauen zwischen lokalem Verzeichnis und Entra ID ab, daher können Angreifer nach der Ausnutzung tief in die Identitätsinfrastruktur vordringen. Microsoft hat den Fehler durch das eigene Incident-Response-Team bei laufenden Angriffen entdeckt.
Parallel greifen Angreifer CVE-2026-56164 in SharePoint Server an, eine Rechteausweitung mit einem CVSS-Score von 5.3. Der niedrige Wert täuscht, denn eine fehlende Authentifizierung an einer kritischen Funktion lässt einen unauthentifizierten Angreifer über das Netz Rechte anheben. Betroffen sind SharePoint Server 2016, 2019 und die Subscription Edition. Microsoft rät, das Antimalware Scan Interface zu aktivieren und den Request Body Scan auf den Modus Full zu stellen.
Wie CVE-2026-56155 war auch die Schwachstelle CVE-2026-50661 vor dem Patch öffentlich bekannt. Sie beschreit ein Umgehen der BitLocker-Geräteverschlüsselung mit einem CVSS-Score von 6.1. Der Angriff verlangt physischen Zugriff auf das Gerät und hebelt den Schutz des Systemdatenträgers aus.
Die gefährlichsten Fehler des Monats erlauben entfernte Codeausführung ohne Anmeldung. CVE-2026-50518 im Windows-DHCP-Server hat einen CVSS-Score von 9.8 und beruht auf einem heap-basierten Pufferüberlauf, den ein Angreifer unauthentifiziert über das Netz auslösen kann.
Microsoft korrigiert weitere kritische DHCP-Fehler, darunter CVE-2026-56159 mit demselben Wert. CVE-2026-56190 im Remote Desktop Protocol erreicht ebenfalls einen CVSS-Score von 9.8, hier nutzt der Fehler eine nicht initialisierte Ressource, sodass Angreifer über präparierten RDP-Verkehr den Speicher korrumpieren und die Codeausführung übernehmen können.
Wurmartig verhält sich CVE-2026-56188 in einem Netzwerktreiber von Windows Server, eine Race Condition mit einem CVSS-Score von 9.8, deren Angriff sich ohne Zutun ausbreiten kann.
Ausbruch aus der Virtualisierung und Cloud-Identität
Den höchsten Wert des Monats erreicht CVE-2026-57092 im Windows VMSwitch mit einem CVSS-Score von 9.9. Ein Use-after-free lässt einen Angreifer mit geringen Rechten aus einer virtuellen Maschine ausbrechen und den Host vollständig übernehmen.
Denselben Höchstwert teilen zwei Rechteausweitungen in der Cloud, CVE-2026-45499 in Azure OpenAI und CVE-2026-57100 im Entra Provisioning Service, beide mit CVSS 9.9 und serverseitig behoben.
Neben der aktiv ausgenutzten Rechteausweitung bringt SharePoint zwei kritische RCE-Fehler mit. CVE-2026-50522 und CVE-2026-58644 haben jeweils einen CVSS-Score von 9.8 und gehen auf die Deserialisierung nicht vertrauenswürdiger Daten zurück, die ein Angreifer ohne Anmeldung erreichen kann. Die erste Variante haben Forscher bei Pwn2Own Berlin vorgeführt.
In Exchange Server steckt mit CVE-2026-55008 ein Spoofing-Fehler mit einem CVSS-Score von 9.6, ein persistentes Cross-Site-Scripting in Outlook Web Access. Öffnet ein Opfer die präparierte Nachricht, kann der Angreifer eigenen JavaScript-Code im Browser-Kontext ausführen.
SQL Server korrigiert mit CVE-2026-54117 und CVE-2026-54118 zwei Codeausführungen mit einem CVSS-Score von jeweils 8.8. Im Windows-Kernel schließt CVE-2026-49798 eine Rechteausweitung mit einem CVSS-Score von 9.3.
Das kumulative Juli-Update KB5101650 räumt ein Problem des Vormonats aus, das nach dem Juni-Update Anwendungen über die OLE-Automatisierung am Start von Office gehindert hat. Zugleich bringt es eigene Known Issues. Eine Härtung erzwingt die Registrierung von TDI-Transporten, wodurch Anwendungen mit Sockets über nicht registrierte Drittanbieter-Transporte ausfallen können. Auf einigen Dell-Geräten mit Intel-Prozessoren hält Microsoft das Update wegen einer gemeldeten Inkompatibilität vorerst zurück.
Der Juli 2026 bietet mit Patches für 622 CVEs einen neuen Rekor und verschiebt das Risiko auf die Identitäts- und Netzwerkschicht. Mit CVE-2026-56155 in AD FS und CVE-2026-56164 in SharePoint greifen Angreifer zwei Schwachstellen an, die trotz moderater CVSS-Werte von 7.8 und 5.3 direkt auf Anmeldevertrauen und Rechteausweitung zielen. Die kritischsten Fehler bilden die unauthentifizierten RCE-Sicherheitslücken in DHCP, RDP und einem Netzwerktreiber mit jeweils 9.8 sowie der VMSwitch-Ausbruch CVE-2026-57092 mit 9.9. Dass ein Kernprodukt wie SharePoint zugleich eine aktiv ausgenutzte und mehrere kritische RCE-Schwachstelle vereint, unterstreicht seine Rolle als lohnendes Ziel.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Seit vielen Jahren veröffentlichen wir regelmäßig Meldungen zum Microsoft Patchday. Wir würden gerne von Ihnen wissen, wie wir die Meldungen noch nützlicher für Ihre tägliche Arbeit machen können. Welche Infos wünschen Sie sich zusätzlich, was können wir übersichtlicher machen, was weglassen? Schreiben Sie uns eine E-Mail! Wir lesen jede Zuschrift, versprochen!