#Netzwerk & Sicherheit · 2 Min. Lesezeit · Tim Rinkel

DNS-ALARM! Microsofts Mai-Patch stopft JETZT die zweite Sicherheits-Schlucht — DEIN Domain-Controller braucht den Drop

DNS-ALARM! Microsofts Mai-Patch stopft JETZT die zweite Sicherheits-Schlucht — DEIN Domain-Controller braucht den Drop

Microsofts Mai-2026-Patch-Tuesday war ein Doozy: 138 CVEs insgesamt, davon 17 Critical. Die Schlagzeile holte sich der Netlogon-Bug CVE-2026-41089 (CVSS 9.8) — aber knapp dahinter steckt ein zweiter Sleeper-Hammer: eine kritische DNS-Server-Luecke, die Domain Controller direkt aufreissen kann.

WAS NEU IST: DNS-Server-RCE neben Netlogon

Die DNS-Bug ist ein RCE im Windows-DNS-Server, also dem Service, der typischerweise auf Domain Controllern mitlaeuft. Pre-Auth, ueber das Netzwerk, kein User-Interaction noetig. Im Cluster mit dem Netlogon-Bug ergibt das eine Hochrisiko-Konstellation fuer jeden Active-Directory-Stack.

WARUM ES GEFAEHRLICH IST: SigRed-Erinnerungen

2020 hatte Microsoft SigRed (CVE-2020-1350) — eine 17-Jahre-alte DNS-Luecke, die mit CVSS 10.0 in die Geschichtsbuecher einging. Die Mai-2026-Bug erinnert an SigRed: gleicher Service, gleicher Angriffsvektor, gleiche potenzielle Reichweite.

BETROFFENE SYSTEME

  • Windows Server 2019, 2022, 2025 mit DNS-Rolle
  • Domain Controller (haben DNS standardmaessig)
  • Standalone-DNS-Server in DMZ-Setups

SO PATCHST DU: WSUS, Auto-Update oder manuell

  1. WSUS-Admins: Mai-2026-Update freigeben, an alle DCs ausrollen
  2. Auto-Update aktiv: passiert in der Maintenance-Window-Phase
  3. Manuelle Patcher: KB-Nummer aus dem Microsoft Update Catalog ziehen

Wichtig: Domain Controller patchen alle in einem Wartungsfenster. Wenn ein DC aktualisiert ist, ein anderer aber noch verwundbar — Angreifer-Strategie ist klar.

EXTRA-WARNUNG: 17 Critical insgesamt

Die DNS-Luecke ist nur eine von 17 Critical-Bugs. Microsoft hat insgesamt 138 CVEs gefixt — darunter sechs Word-RCEs ueber das Vorschau-Fenster (CVE-2026-40361, 40364 als wahrscheinlichste Angriffsziele) und der Dynamics-365-9.9-Bug (CVE-2026-42898, separater Artikel).

FAZIT: Mai-Patch ist KEIN „kann warten“

Mit Netlogon, DNS, Word und Dynamics in einem Drop ist der Mai 2026 einer der schweren Patch-Tuesdays des Jahres. Wer auf das naechste Quartals-Wartungsfenster wartet, riskiert Domain-Compromise vor dem Patch.

Häufige Fragen

Welche DNS-CVE meint Microsoft konkret?
Microsoft hat im Mai 2026 mehrere DNS-bezogene Patches eingespielt. Die wichtigste ist eine RCE-Luecke im Windows-DNS-Server, die Pre-Auth ueber das Netzwerk ausnutzbar ist. Die genaue CVE-ID findest du im Mai-2026-Eintrag des Microsoft Security Update Guide.
Sind Linux-DNS-Server (BIND, Unbound) auch betroffen?
Nein. Diese Bugs treffen ausschliesslich den Windows-DNS-Server-Service. BIND, Unbound, dnsmasq und Co haben eigene Update-Zyklen und sind von der Microsoft-Patch-Tuesday-Welle nicht betroffen.
Was, wenn ich keinen DNS-Service auf dem DC laufen habe?
Dann bist du von dieser konkreten Luecke nicht betroffen. Aber Active Directory funktioniert in den meisten Setups nur sauber, wenn DCs auch DNS bereitstellen. Pruefe per `Get-Service DNS` auf jedem DC, ob der Service laeuft.

Quellen: thehackernews.com · www.bleepingcomputer.com · vulert.com

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert