Microsoft-Patchday: 160 Sicherheitslücken und zwei Zero-Day-Angriffe
Verfasst: Mittwoch 15. April 2026, 14:58
Microsofts umfangreiches Sicherheitsupdate behebt zwei bereits aktiv genutzte Zero-Day-Lücken in SharePoint und Defender. Die US-Behörde CISA fordert schnelle Installation.
Der April-Patch behebt über 160 Schwachstellen – darunter zwei bereits aktiv ausgenutzte Zero-Day-Lücken. Für Unternehmen wird die Installation zur Dringlichkeitsaufgabe.
Kritische Zero-Day-Lücken in SharePoint und Defender
Im Zentrum des Updates steht die Behebung von CVE-2026-32201, einer kritischen Schwachstelle in SharePoint Server. Sicherheitsforscher bestätigen, dass Angreifer diese Lücke bereits seit Mitte April aktiv nutzen. Sie ermöglicht Identitätsdiebstahl und die Ausführung schädlicher Skripte – eine direkte Gefahr für Unternehmensdaten und interne Kommunikation.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen, zeigt dieser kostenlose Report zu den aktuellen Bedrohungen 2024. Erfahren Sie, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen ohne großes Budget erfüllen. Gratis-E-Book: IT-Sicherheit für Unternehmen stärken
Die zweite Zero-Day-Lücke CVE-2026-33825 betrifft Windows Defender. Zwar wird sie noch nicht breit genutzt, doch der Exploit-Code mit dem Namen BlueHammer kursiert bereits auf Plattformen wie GitHub. Das senkt die Hürde für Angreifer erheblich: Sie könnten damit erhöhte Berechtigungen auf kompromittierten Windows-Systemen erlangen.
Marktbeobachter sehen einen klaren Trend hinter der hohen Zahl entdeckter Schwachstellen. Künstliche Intelligenz hilft sowohl Software-Herstellern als auch unabhängigen Forschern dabei, komplexe Fehler schneller zu identifizieren als je zuvor.
Acht kritische Lücken – sieben ermöglichen Fernzugriff
Neben den Zero-Days enthält der April-Patch acht als kritisch eingestufte Sicherheitslücken. Sieben davon ermöglichen Remote Code Execution (RCE) – Angreifer können also Code aus der Ferne auf betroffenen Systemen ausführen.
Besonders brisant ist CVE-2026-33824 im Internet Key Exchange (IKE) Service. Mit einem CVSS-Score von 9,8 erlaubt diese Lücke unauthentifizierten Angreifern die Code-Ausführung. Für Netzwerkadministratoren hat sie höchste Priorität.
Weitere kritische Patches betreffen:
* Windows Active Directory: CVE-2026-33826 könnte Identitätsmanagementsysteme kompromittieren
* Windows Cryptographic Services: CVE-2026-26152 ermöglicht lokale Rechteausweitung von Windows 10 bis Server 2025
* Unternehmenskommunikation: Mehrere RCE-Lücken in Microsoft Office, Word und Remote Desktop Services
Die US-Cybersicherheitsbehörde CISA hat bereits reagiert. Sie nahm am 14. April sieben Schwachstellen in ihren Katalog bekannter, ausgenutzter Lücken auf. US-Behörden müssen die meisten davon bis zum 27. April schließen.
Branchenweite Sicherheitskrise: Von Fortinet bis WordPress
Die Sicherheitswelle erfasst die gesamte IT-Branche. Fortinet patchte diese Woche elf Schwachstellen – zwei davon kritisch in FortiSandbox. Eine SQL-Injection-Lücke (CVE-2026-21643) mit CVSS-Score 9,1 wird bereits aktiv ausgenutzt. CISA gibt US-Behörden nur bis morgen, 16. April, Zeit für die Installation.
Auch Entwickler-Tools sind betroffen. Zwei hochriskante Lücken im PHP Composer-Paketmanager könnten beliebige Befehlsausführung ermöglichen. Parallel aktivierte sich Mitte April eine Backdoor in dutzenden WordPress-Plugins von Essential Plugin – über 20.000 Websites betroffen.
Datenpannen mehren sich: Booking.com bestätigte den Diebstahl von Kunden- und Buchungsdaten, Basic-Fit meldete einen Vorfall mit einer Million betroffener Mitglieder. Namen, Adressen und Bankdaten waren im Spiel.
Globale Jagd auf Cyberkriminelle und neue Angriffsvektoren
Strafverfolgungsbehörden gehen verstärkt gegen internationale Cyberkriminalität vor. Die gemeinsame Operation Atlantic (USA, UK, Kanada) zerschlug am 14. April einen Kryptowährungs-Diebstahlring. Über 45 Millionen Dollar erbeutete Assets wurden identifiziert, zwölf Millionen für die Rückgabe an Opfer eingefroren.
In Deutschland identifizierte das BKA mutmaßlich den Kopf der GandCrab- und REvil-Ransomware-Gruppen. Diese waren für über 130 Angriffe hierzulande zwischen 2019 und 2021 verantwortlich.
Gleichzeitig entstehen neue Angriffswege: Der Infostealer Omnistealer nutzt Blockchain-Infrastruktur (TRON, Binance Smart Chain) als unveränderliches Command-and-Control-Netzwerk. Das Malware-Ziel: Daten aus Dutzenden Browsern, Cloud-Speichern und über 60 Krypto-Wallets.
EU-Regulierung trifft auf mangelnde Vorbereitung
Die aktuelle Sicherheitslage trifft auf intensive regulatorische Aktivitäten in Europa. Die EU-Agentur ENISA diskutiert heute auf einer Zertifizierungskonferenz die Umsetzung des Cyber Resilience Act (CRA) und der NIS2-Richtlinie.
Für viele deutsche Unternehmen wird es eng: Die NIS2-Registrierungsfrist endet am 6. März 2026. Branchenberichte deuten jedoch darauf hin, dass bisher nur etwa ein Drittel der betroffenen Organisationen die Anforderungen erfüllt hat.
Rekord-Schäden durch Cyber-Attacken zwingen Unternehmen zum Handeln, doch oft fehlen Zeit und Budget für komplexe Sicherheitskonzepte. Dieses kostenlose Anti-Phishing-Paket bietet eine praxisnahe Checkliste und Branchen-Analysen, um Angriffe effektiv zu stoppen. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern
Ein aktueller Branchenreport analysierte 216 Millionen Sicherheitsbefunde. Das Ergebnis: Kritische Schwachstellen haben sich 2026 im Vergleich zu Vorperioden vervierfacht. Experten sehen traditionelle Sicherheitsperimeter als obsolet an – nicht zuletzt wegen der Zunahme nicht-menschlicher Identitäten wie KI-Agenten.
Soziale Angriffsvektoren werden raffinierter: Voice Phishing (Vishing) zielt gezielt auf Helpdesks und Mitarbeiter ab, um Zwei-Faktor-Authentifizierung zu umgehen.
Ausblick: Strengere Regeln, raffiniertere Angriffe
Die regulatorische Schraube dreht sich weiter. Ab 15. Juni 2026 bestraft Google Websites mit „Back-Button-Hijacking“ – eine Praxis, die Nutzer auf schädlichen Seiten festhalten soll.
Im August folgt die EU-KI-Verordnung mit neuen Anforderungen für sichere, transparente KI-Systeme. Im September starten dann Meldepflichten nach dem Cyber Resilience Act.
Für Unternehmen bleibt jedoch zunächst eine Aufgabe: Die April-Patches müssen schnellstmöglich installiert werden. Die Exploit-Codes für die SharePoint- und Defender-Lücken verbreiten sich bereits. Das Zeitfenster für wirksame Abwehr schließt sich rapide.
Der April-Patch behebt über 160 Schwachstellen – darunter zwei bereits aktiv ausgenutzte Zero-Day-Lücken. Für Unternehmen wird die Installation zur Dringlichkeitsaufgabe.
Kritische Zero-Day-Lücken in SharePoint und Defender
Im Zentrum des Updates steht die Behebung von CVE-2026-32201, einer kritischen Schwachstelle in SharePoint Server. Sicherheitsforscher bestätigen, dass Angreifer diese Lücke bereits seit Mitte April aktiv nutzen. Sie ermöglicht Identitätsdiebstahl und die Ausführung schädlicher Skripte – eine direkte Gefahr für Unternehmensdaten und interne Kommunikation.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen, zeigt dieser kostenlose Report zu den aktuellen Bedrohungen 2024. Erfahren Sie, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen ohne großes Budget erfüllen. Gratis-E-Book: IT-Sicherheit für Unternehmen stärken
Die zweite Zero-Day-Lücke CVE-2026-33825 betrifft Windows Defender. Zwar wird sie noch nicht breit genutzt, doch der Exploit-Code mit dem Namen BlueHammer kursiert bereits auf Plattformen wie GitHub. Das senkt die Hürde für Angreifer erheblich: Sie könnten damit erhöhte Berechtigungen auf kompromittierten Windows-Systemen erlangen.
Marktbeobachter sehen einen klaren Trend hinter der hohen Zahl entdeckter Schwachstellen. Künstliche Intelligenz hilft sowohl Software-Herstellern als auch unabhängigen Forschern dabei, komplexe Fehler schneller zu identifizieren als je zuvor.
Acht kritische Lücken – sieben ermöglichen Fernzugriff
Neben den Zero-Days enthält der April-Patch acht als kritisch eingestufte Sicherheitslücken. Sieben davon ermöglichen Remote Code Execution (RCE) – Angreifer können also Code aus der Ferne auf betroffenen Systemen ausführen.
Besonders brisant ist CVE-2026-33824 im Internet Key Exchange (IKE) Service. Mit einem CVSS-Score von 9,8 erlaubt diese Lücke unauthentifizierten Angreifern die Code-Ausführung. Für Netzwerkadministratoren hat sie höchste Priorität.
Weitere kritische Patches betreffen:
* Windows Active Directory: CVE-2026-33826 könnte Identitätsmanagementsysteme kompromittieren
* Windows Cryptographic Services: CVE-2026-26152 ermöglicht lokale Rechteausweitung von Windows 10 bis Server 2025
* Unternehmenskommunikation: Mehrere RCE-Lücken in Microsoft Office, Word und Remote Desktop Services
Die US-Cybersicherheitsbehörde CISA hat bereits reagiert. Sie nahm am 14. April sieben Schwachstellen in ihren Katalog bekannter, ausgenutzter Lücken auf. US-Behörden müssen die meisten davon bis zum 27. April schließen.
Branchenweite Sicherheitskrise: Von Fortinet bis WordPress
Die Sicherheitswelle erfasst die gesamte IT-Branche. Fortinet patchte diese Woche elf Schwachstellen – zwei davon kritisch in FortiSandbox. Eine SQL-Injection-Lücke (CVE-2026-21643) mit CVSS-Score 9,1 wird bereits aktiv ausgenutzt. CISA gibt US-Behörden nur bis morgen, 16. April, Zeit für die Installation.
Auch Entwickler-Tools sind betroffen. Zwei hochriskante Lücken im PHP Composer-Paketmanager könnten beliebige Befehlsausführung ermöglichen. Parallel aktivierte sich Mitte April eine Backdoor in dutzenden WordPress-Plugins von Essential Plugin – über 20.000 Websites betroffen.
Datenpannen mehren sich: Booking.com bestätigte den Diebstahl von Kunden- und Buchungsdaten, Basic-Fit meldete einen Vorfall mit einer Million betroffener Mitglieder. Namen, Adressen und Bankdaten waren im Spiel.
Globale Jagd auf Cyberkriminelle und neue Angriffsvektoren
Strafverfolgungsbehörden gehen verstärkt gegen internationale Cyberkriminalität vor. Die gemeinsame Operation Atlantic (USA, UK, Kanada) zerschlug am 14. April einen Kryptowährungs-Diebstahlring. Über 45 Millionen Dollar erbeutete Assets wurden identifiziert, zwölf Millionen für die Rückgabe an Opfer eingefroren.
In Deutschland identifizierte das BKA mutmaßlich den Kopf der GandCrab- und REvil-Ransomware-Gruppen. Diese waren für über 130 Angriffe hierzulande zwischen 2019 und 2021 verantwortlich.
Gleichzeitig entstehen neue Angriffswege: Der Infostealer Omnistealer nutzt Blockchain-Infrastruktur (TRON, Binance Smart Chain) als unveränderliches Command-and-Control-Netzwerk. Das Malware-Ziel: Daten aus Dutzenden Browsern, Cloud-Speichern und über 60 Krypto-Wallets.
EU-Regulierung trifft auf mangelnde Vorbereitung
Die aktuelle Sicherheitslage trifft auf intensive regulatorische Aktivitäten in Europa. Die EU-Agentur ENISA diskutiert heute auf einer Zertifizierungskonferenz die Umsetzung des Cyber Resilience Act (CRA) und der NIS2-Richtlinie.
Für viele deutsche Unternehmen wird es eng: Die NIS2-Registrierungsfrist endet am 6. März 2026. Branchenberichte deuten jedoch darauf hin, dass bisher nur etwa ein Drittel der betroffenen Organisationen die Anforderungen erfüllt hat.
Rekord-Schäden durch Cyber-Attacken zwingen Unternehmen zum Handeln, doch oft fehlen Zeit und Budget für komplexe Sicherheitskonzepte. Dieses kostenlose Anti-Phishing-Paket bietet eine praxisnahe Checkliste und Branchen-Analysen, um Angriffe effektiv zu stoppen. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern
Ein aktueller Branchenreport analysierte 216 Millionen Sicherheitsbefunde. Das Ergebnis: Kritische Schwachstellen haben sich 2026 im Vergleich zu Vorperioden vervierfacht. Experten sehen traditionelle Sicherheitsperimeter als obsolet an – nicht zuletzt wegen der Zunahme nicht-menschlicher Identitäten wie KI-Agenten.
Soziale Angriffsvektoren werden raffinierter: Voice Phishing (Vishing) zielt gezielt auf Helpdesks und Mitarbeiter ab, um Zwei-Faktor-Authentifizierung zu umgehen.
Ausblick: Strengere Regeln, raffiniertere Angriffe
Die regulatorische Schraube dreht sich weiter. Ab 15. Juni 2026 bestraft Google Websites mit „Back-Button-Hijacking“ – eine Praxis, die Nutzer auf schädlichen Seiten festhalten soll.
Im August folgt die EU-KI-Verordnung mit neuen Anforderungen für sichere, transparente KI-Systeme. Im September starten dann Meldepflichten nach dem Cyber Resilience Act.
Für Unternehmen bleibt jedoch zunächst eine Aufgabe: Die April-Patches müssen schnellstmöglich installiert werden. Die Exploit-Codes für die SharePoint- und Defender-Lücken verbreiten sich bereits. Das Zeitfenster für wirksame Abwehr schließt sich rapide.