#Netzwerk & Sicherheit · 2 Min. Lesezeit · Tim Rinkel

DYNAMICS-ALARM! CVSS 9.9 reisst JETZT JEDES On-Prem-CRM auf — eingeloggte User sprengen Microsofts Sandbox

DYNAMICS-ALARM! CVSS 9.9 reisst JETZT JEDES On-Prem-CRM auf — eingeloggte User sprengen Microsofts Sandbox

Microsoft hat in der Mai-Patchday-Welle eine Luecke versteckt, die jedes Dynamics 365 On-Premises aushebelt. CVE-2026-42898, CVSS-Score 9.9. Was sie so gefaehrlich macht: jeder authentifizierte User kann sie ausnutzen — kein Admin, kein Spezial-Permission, einfach ein normaler CRM-Account reicht.

WAS PASSIERT: Code-Injection sprengt die Sandbox

Die Luecke ist eine Improper Control of Generation of Code — auf Deutsch: Microsoft validiert nicht sauber, was in einer Process-Session-State landet. Ein Angreifer kann den gespeicherten Zustand modifizieren, das System triggert die Verarbeitung — und der Server fuehrt schadhaften Code aus.

Brutal: Es gibt einen Scope Change. Der Code laeuft nicht nur in der CRM-Sandbox, sondern kann ausbrechen und Ressourcen ausserhalb des Dynamics-Komponenten erreichen. Damit ist das ganze System gekippt, nicht nur das CRM.

WER BETROFFEN IST: Nur On-Prem, aber das reicht

Die Luecke trifft Microsoft Dynamics 365 (on-premises). Cloud-Mandanten sind raus — Microsoft hat dort schon gepatcht. Wer aber das CRM im eigenen Rechenzentrum hosten muss (Compliance, Branchen-Regulierung, Datenschutz), ist verwundbar.

SO PATCHST DU: Mai-2026-Update einspielen, jetzt

Der Patch ist Teil des Microsoft Patch Tuesday vom 12. Mai 2026. Die Microsoft Security Response Center hat das Advisory ueber den Security Update Guide veroeffentlicht. Schritte:

  1. In den Update Guide einloggen, CVE-2026-42898 suchen
  2. Die fuer deine Dynamics-Version passende Update-KB herunterladen
  3. In einer Test-Umgebung ausprobieren — Scope-Changes haben in der Vergangenheit Workflows gekippt
  4. Im naechsten Maintenance-Fenster auf die Produktiv-Instanz

FAZIT: 9.9 ist 9.9 — keine Ausreden

Selbst mit dem Authentifizierungs-Hindernis ist 9.9 ein Toptier-Risiko. In Branchen mit wenigen, aber hochprivilegierten Insidern (z.B. Versicherungen, Banken, Behoerden) ist die Luecke direkt ausnutzbar. Patch noch diese Woche, nicht im naechsten Quartal.

Häufige Fragen

Welche Dynamics-365-Versionen sind betroffen?
Alle aktuell unterstuetzten On-Premises-Versionen von Dynamics 365. Cloud-Mandanten (Dynamics 365 Online) hat Microsoft bereits serverseitig gepatcht und sind nicht verwundbar.
Wie merke ich, ob mein System schon angegriffen wurde?
Pruefe Eventlogs auf ungewoehnliche Workflow-Ausfuehrungen, unbekannte Plugins und neue System-Accounts. Auffaellig sind Process-Sessions, die zu untypischen Zeiten oder mit ungewoehnlichen Daten getriggert wurden. Wer kann, sollte Microsoft Defender for Cloud Apps auf das CRM richten.
Kann ich den Patch einfach im naechsten Wartungsfenster einspielen?
Bei CVSS 9.9 plus Scope Change empfiehlt Microsoft eine schnellere Einspielung als das uebliche 30-Tage-Fenster. Mindestens in Test/QA sofort, in Produktion innerhalb einer Woche. Wer das nicht schafft, sollte temporaer den Zugriff auf interne IPs einschraenken.

Quellen: windowsnews.ai · www.bleepingcomputer.com · www.thezdi.com

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert