Microsoft Patch Tuesday Mai 2026: 120 Schwachstellen behoben

Überblick: 120 CVEs, 17 als kritisch eingestuft

Mit dem Mai 2026 Patch Tuesday hat Microsoft am 12. Mai 2026 insgesamt 120 Sicherheitslücken über das gesamte Produktportfolio geschlossen. Davon stuft der Hersteller 17 Schwachstellen als „Critical“ ein. Im Gegensatz zu vielen Monaten zuvor sind nach derzeitigem Stand keine Zero-Days dabei — weder öffentlich bekannte noch aktiv ausgenutzte Schwachstellen wurden zum Veröffentlichungszeitpunkt gemeldet.

Der Schwerpunkt liegt eindeutig auf dokumentbasierten Angriffsvektoren in Office und Word sowie auf netzwerkexponierten Authentifizierungs- und Namensauflösungskomponenten im Windows-Server-Stack. Sieben kritische CVEs entfallen auf Windows-Komponenten, sechs auf die Office-Suite und drei auf SharePoint & Services.

Kategorie	Gesamt	Davon kritisch
Elevation of Privilege	61	2
Remote Code Execution	31	14
Information Disclosure	14	1
Spoofing	13	0
Denial of Service	8	0
Security Feature Bypass	6	0

Kontext: Patch Tuesday

Microsoft veröffentlicht seit 2003 sicherheitsrelevante Updates jeden zweiten Dienstag im Monat. Der Mai-2026-Release ist eine der größten Sammelveröffentlichungen des laufenden Jahres und betrifft Windows-Clients, Windows Server, Office, SharePoint, Dynamics 365, .NET, Hyper-V sowie Cloud-nahe Dienste wie M365 Copilot.

Netlogon und DNS Client: Pre-Auth-RCE im Authentifizierungs-Stack

Die aus operativer Sicht gefährlichsten Lücken des Monats betreffen zwei netzwerkexponierte Windows-Server-Komponenten, die im Active-Directory-Betrieb eine zentrale Rolle spielen. Beide ermöglichen Remote Code Execution ohne Authentifizierung — ein klassisches Wormable-Profil.

Abstrakte Visualisierung eines Domain Controllers mit umgebenden Server-Knoten und einem kompromittierten Authentifizierungspfad — Netzwerkexponierte Authentifizierungs-Dienste sind das primäre Angriffsziel.

CVE	Komponente	Typ	Vektor
`CVE-2026-41089`	Windows Netlogon	RCE · Stack Buffer Overflow	Unauth., Netzwerk
`CVE-2026-41096`	Windows DNS Client	RCE · Heap Buffer Overflow	Bösartiger DNS-Response
`CVE-2026-32161`	Native WiFi Miniport Driver	RCE	Lokales Funknetz

Laut Qualys-Analyse beruht CVE-2026-41089 auf einem Stack-basierten Buffer Overflow in Netlogon, der durch eine speziell präparierte Netzwerk-Anfrage an einen Domain Controller ausgenutzt werden kann. CVE-2026-41096 hingegen wird über einen vom Angreifer kontrollierten DNS-Server getriggert: Ein speziell konstruierter DNS-Response gegen einen anfragenden Windows-Client führt zur Code-Ausführung. Die DNS-Client-Lücke ist damit auch in Szenarien gefährlich, in denen Domain Controller selbst nicht direkt erreichbar sind.

Akute Priorität

CVE-2026-41089 betrifft Authentifizierungs-Infrastruktur — ein erfolgreicher Exploit kompromittiert nicht einen einzelnen Host, sondern potenziell die gesamte Domäne. Domain Controller müssen mit höchster Priorität gepatcht werden. Bedenken Sie: Netlogon-Verkehr ist innerhalb von Active-Directory-Umgebungen kaum segmentierbar.

Office & Word: Sieben kritische RCEs, ein Preview-Pane-Vektor

Abstrakte Visualisierung eines dokumentbasierten Angriffsvektors mit fließenden Papierblättern und einem leuchtenden Schwachstellenpunkt — Dokumentbasierte Angriffe bleiben einer der häufigsten initialen Zugangsvektoren.

Im Mai-Release sind sieben kritische RCE-Lücken in Office und Word enthalten. Sie werden überwiegend durch präparierte Dokumente ausgelöst — klassisch über das Öffnen, in einem Fall jedoch besonders kritisch über das Preview-Pane im Windows Explorer oder Outlook. Damit reduziert sich die für eine Ausnutzung notwendige Nutzerinteraktion auf das bloße Markieren der Datei.

CVE	Produkt	Schwachstellenklasse
`CVE-2026-40364`	Word	Type Confusion · Preview-Pane-Vektor
`CVE-2026-40366`	Word	Use-after-free
`CVE-2026-40361`	Word	Use-after-free
`CVE-2026-40367`	Word	RCE
`CVE-2026-40358`	Office	Use-after-free
`CVE-2026-40363`	Office	Heap Buffer Overflow
`CVE-2026-42831`	Office	RCE

Preview Pane als stiller Trigger

Bei CVE-2026-40364 reicht laut Microsoft eine Vorschau im Explorer- oder Outlook-Preview-Pane, um die Schwachstelle auszunutzen. Der Nutzer muss die Datei nicht aktiv öffnen. Das hebelt das gängige Awareness-Argument „Nicht auf verdächtige Anhänge klicken“ teilweise aus, sobald der Anhang im Posteingang sichtbar ist.

Als begleitende Härtungsoption kann der Umgang mit dem Outlook-Preview-Pane organisationsspezifisch bewertet werden. Solche Konfigurationsentscheidungen sollten in Abstimmung mit den betroffenen Arbeitsabläufen und ggf. im Rahmen einer Pilotphase erfolgen.

SharePoint Server & Dynamics 365: On-Prem-Anwendungen im Fokus

Auf On-Prem-Seite zieht Microsoft fünf SharePoint-RCE-Schwachstellen sowie eine kritische Lücke in Dynamics 365 On-Premises ein. Während die SharePoint-Lücken überwiegend authentifizierte Vektoren voraussetzen, ist die Angriffsfläche bei aus dem Internet erreichbaren Collaboration-Servern erfahrungsgemäß deutlich größer als bei reinen LAN-Deployments — etwa durch Self-Service-Accounts, Föderationen oder Drittpartei-Zugänge.

CVE	Komponente	Bemerkung
`CVE-2026-40365`	SharePoint Server 2019	RCE · Site-Owner-Privileg erforderlich
`CVE-2026-40368`	SharePoint Server	RCE
`CVE-2026-33112`	SharePoint Server	RCE
`CVE-2026-33110`	SharePoint Server	RCE
`CVE-2026-42898`	Dynamics 365 On-Premises	RCE · kritisch
`CVE-2026-41103`	SSO-Plugin für Jira/Confluence	EoP · CVSS 9.1

PowerShell · SharePoint-Patchstand prüfen

# Build-Versionen der SharePoint-Farm auslesen
Get-SPFarm | Select-Object BuildVersion

# Patchstatus aller Server in der Farm
Get-SPProduct | Select-Object ProductName, Patchable, PatchableUnitDisplayNames

# Kumulative Updates für SharePoint Server 2019
Get-WmiObject -Class Win32_QuickFixEngineering |
  Where-Object { $_.HotFixID -match 'KB' } |
  Sort-Object InstalledOn -Descending |
  Select-Object -First 10 HotFixID, Description, InstalledOn

Hardening über den Patch hinaus

Die SharePoint-Lücke CVE-2026-40365 verlangt Site-Owner-Rechte. In der Praxis sind diese Rollen in gewachsenen Umgebungen oft großzügiger verteilt als ursprünglich beabsichtigt. Ein zeitnahes Audit privilegierter SharePoint-Rollen und der Einsatz eines kontrollierten Privileged-Access-Pfads reduzieren das Restrisiko erheblich.

Empfohlene Patch-Priorisierung

Da kein Zero-Day-Druck besteht, lässt sich der Rollout dieses Monats geordnet planen. Maßgeblich ist die Exponierung der jeweiligen Komponente: Authentifizierungsstack vor Internet-Anwendungen vor Endgeräten vor passiver Infrastruktur.

Domain Controller zuerst

Netlogon-Patch (CVE-2026-41089) auf allen DCs priorisieren, anschließend Funktionstests gegen Replikation, Kerberos und Trusts. Pre-Auth-RCE im Authentifizierungs-Stack hat höchste Priorität.

Internet-exposed SharePoint

Aus dem Internet erreichbare SharePoint-Farmen mit hoher Priorität nach den DCs einplanen. WAF-Regeln und Logging-Schärfe verifizieren, bevor Wartungsfenster freigegeben werden.

Office-Clients flächendeckend

Office- und Word-Updates über Microsoft Update / Intune in regulären Wartungswellen ausrollen. Begleitende Härtungsoptionen für den Umgang mit dem Outlook-Preview-Pane organisationsspezifisch bewerten.

Windows-Server & Clients

GDI, Graphics, DNS Client und Hyper-V einplanen. Bei Hyper-V-Hosts ein abgestimmtes Wartungsfenster wegen Live-Migration und Cluster-Konsequenzen vorsehen.

Rollout-Ablauf

1CVE-Liste gegen vorhandenes Inventar abgleichen (Asset-Management, CMDB, SCCM/Intune).
2Risikobasierte Priorisierung erstellen: Domain Controller > Internet-exposed Services > Standardarbeitsplätze.
3Begleitende Härtungsmaßnahmen organisationsspezifisch bewerten und in die Rollout-Planung aufnehmen.
4Pilot-Ring (5–10 % der Geräte) auf Stabilität und Funktion prüfen.
5Wellenweiser Produktivrollout mit definiertem Rollback-Pfad.
6Patchstand verifizieren (Build-Version, Hotfix-ID) und in der CMDB dokumentieren.

PowerShell · Patchstand auf Windows-Hosts prüfen

# Aktuelle KB-Patches der letzten 30 Tage
Get-HotFix |
  Where-Object { $_.InstalledOn -gt (Get-Date).AddDays(-30) } |
  Sort-Object InstalledOn -Descending |
  Format-Table HotFixID, Description, InstalledOn -AutoSize

# Windows-Update-Verlauf via PSWindowsUpdate (Modul muss installiert sein)
Get-WUHistory | Select-Object Date, Title, Result -First 15

# Domain Controller schnell identifizieren
Get-ADDomainController -Filter * |
  Select-Object Name, OperatingSystem, OperatingSystemVersion

Compliance-Kontext NIS2

Für Unternehmen unter NIS2-Geltungsbereich ist ein nachweisbares Schwachstellen-Management Bestandteil der Mindestmaßnahmen nach Art. 21. Strukturierte Patch-SLAs, dokumentierte Risikoentscheidungen und reproduzierbare Rollout-Prozesse sind aufsichtsrelevant — nicht erst im Schadensfall.

Fazit: Ruhiger Monat ohne Zero-Day — aber kein Anlass zur Entspannung

Der Mai-2026-Release ist quantitativ einer der umfangreicheren Patch Tuesdays, qualitativ aber durch das Fehlen aktiv ausgenutzter Zero-Days entspannter als die Vormonate. Das gibt Sicherheitsteams Spielraum für einen geordneten, getesteten Rollout — bedeutet aber nicht, dass die Lücken trivial wären. Insbesondere die Netlogon-RCE und der Word-Preview-Pane-Vektor sind klassische Bausteine für künftige Angriffsketten und absehbar Gegenstand öffentlicher Exploit-Demos.

Unsere Empfehlung: Priorisieren Sie domänenrelevante Server, gefolgt von Internet-exposed Services und Office-Clients, und nehmen Sie diesen Release als Anlass, Ihren Vulnerability-Management-Prozess strukturell zu überprüfen — nicht nur einen einzelnen Patch-Zyklus.

Drei Take-aways

1. Keine Zero-Days — aber zwei pre-auth-erreichbare RCEs (Netlogon, DNS Client) verdienen Top-Priorität.

2. Preview-Pane-Trigger bei CVE-2026-40364 sollte beim Patch-Rollout konfigurativ mitberücksichtigt und organisationsspezifisch bewertet werden.

3. 17 kritische Lücken auf einmal sind ein Stresstest für jeden Patch-Prozess — nutzen Sie ihn als Reifegrad-Indikator.