#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

DNS-ALARM! CVE-2026-41096 reißt JETZT JEDEN Windows-Client auf — Microsoft warnt vor BRUTALER Remote-Code-Execution, DU musst SOFORT patchen

DNS-ALARM! CVE-2026-41096 reißt JETZT JEDEN Windows-Client auf — Microsoft warnt vor BRUTALER Remote-Code-Execution, DU musst SOFORT patchen
Lapalutschi-Plate 278: CVE-2026-41096 Windows DNS Client RCE — gerissener Globus mit CVSS-9.8-Siegel als Symbol für die globale Auswirkung der DNS-Lücke.

SO BRUTAL ist die DNS-Lücke

SCHOCK aus Redmond! Microsoft hat in seinem Mai-2026-Patchday insgesamt 120 Sicherheitslücken geflickt, darunter 17 als CRITICAL eingestufte Schwachstellen. Die FETTESTE Bombe heißt CVE-2026-41096 und sitzt im Windows DNS Client — ein zentraler Dienst, den JEDER Windows-PC, jeder Server und jeder Domain Controller permanent nutzt.

Die Lücke hat einen CVSS-Score von 9.8 (CRITICAL). Konkret: Ein Angreifer kann mit einer manipulierten DNS-Antwort beliebigen Code mit SYSTEM-Rechten ausführen. KEIN User-Klick nötig, KEINE lokale Anmeldung — reine Netzwerk-Exploitation.

WER betroffen ist

  • Windows 10 (alle Editionen, ab 22H2)
  • Windows 11 (23H2, 24H2, 25H2)
  • Windows Server 2022, 2025
  • Windows Server Core Installations
  • ARM64-Builds inklusive

Heißt im Klartext: Praktisch jedes Windows-Gerät in deinem Netzwerk — vom Familien-PC bis zum Domain Controller — ist verwundbar, bis du den Mai-Patch installierst.

WIE Angreifer die Lücke EXPLOITEN

Microsoft bewertet das Risiko der Ausnutzung als „more likely“. Der Angriffsvektor ist erschreckend einfach: Ein bösartiger DNS-Server (oder ein kompromittierter DNS-Resolver im Pfad) schickt eine speziell präparierte DNS-Antwort. Der Windows DNS Client parst diese Antwort fehlerhaft — Buffer-Overflow — und der Angreifer übernimmt das System.

Besonders heikel: In offenen Netzen (Café-WLAN, Konferenz-WLAN, Hotel-Netz) kann ein Angreifer mit ARP-Spoofing oder einem Rogue-DNS-Server alle Clients im Subnetz auf einen Schlag attackieren.

SO patchst du JETZT

  1. Windows Update SOFORT auf allen Geräten anstoßen — auch auf privaten Laptops, die nur sporadisch im Firmennetz hängen.
  2. Domain Controller sind PRIORITÄT NUMMER 1. Wenn ein DC fällt, fällt die ganze Domain.
  3. Server Core Installations NICHT vergessen — die updaten sich oft nicht automatisch.
  4. Nach dem Patch: Get-HotFix in PowerShell ausführen und prüfen, ob die KB-Nummer aus der Microsoft-Mai-2026-Liste installiert wurde.

EXTRA-TIPP: DNS-over-HTTPS als Notnagel

Wenn du aus Gründen NICHT sofort patchen kannst (z. B. lange Wartungsfenster im Konzern): Aktiviere DNS-over-HTTPS (DoH) in Windows. Damit fließt der DNS-Verkehr verschlüsselt zu einem vertrauenswürdigen Resolver (Cloudflare 1.1.1.1, Google 8.8.8.8) — und Rogue-DNS-Server im Subnetz haben deutlich weniger Angriffsfläche. ABER: Das ist nur Mitigation, KEIN Fix.

FAZIT: Mai-Patchday ist KEIN „normaler“ Patchday

Microsofts erster Patch Tuesday seit Juni 2024 OHNE aktiv ausgenutzte Zero-Days klingt entspannt — ist es aber NICHT. Mit CVE-2026-41096 sitzt eine wurmfähige RCE-Lücke in jedem deiner Windows-Geräte. Public-Proof-of-Concept ist nur eine Frage von Tagen, vielleicht Stunden. Patch JETZT, nicht morgen!

Häufige Fragen

Welche Versionen sind betroffen?
Alle aktuellen Windows-Clients (10 ab 22H2, 11 inklusive 25H2) und alle aktuellen Server-Editionen (Server 2022, Server 2025). ARM64-Builds und Server-Core-Installationen sind ebenfalls betroffen. Eine LTSC-Variante ist ausgenommen, wenn sie noch auf einem älteren Kernel läuft.
Wie merke ich, ob mein System verwundbar ist?
Wenn `Get-HotFix` keine KB-Nummer aus dem Mai-2026-Patchday liefert, bist du verwundbar. Alternativ zeigt der Microsoft Security Update Guide pro Build genau, welche Updates fehlen.
Wie behebe ich das Problem konkret?
Windows Update öffnen, alle ausstehenden Patches installieren und neu starten. In Enterprise-Umgebungen über WSUS oder Intune ausrollen. Domain Controller zuerst, dann File- und Print-Server, dann Clients.
Gab es schon aktive Angriffe?
Beim Patchday-Release waren keine In-The-Wild-Angriffe bekannt. Microsoft stuft die Wahrscheinlichkeit aber als „more likely“ ein — typischerweise tauchen Exploit-Demos und PoC-Code innerhalb von 24-72 Stunden nach Patch-Veröffentlichung auf.

Quellen: BleepingComputer, Tenable, The Hacker News, Microsoft MSRC (Mai-2026-Patchday).

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert