Microsoft Patch Tuesday April 2026
|

Microsoft Patch Tuesday April 2026 – 163 CVEs, CVSS 9.8 Windows RCE & 0-Day aktiv ausgenutzt

VonContentKalle

Der Microsoft Patch Tuesday April 2026 ist einer der umfangreichsten und gefährlichsten der letzten Jahre: Microsoft schließt insgesamt 163 CVEs – darunter ein aktiv ausgenutzter SharePoint-Zero-Day und eine unauthentifizierte Remote-Code-Execution-Lücke in Windows mit einem CVSS-Score von 9,8. Wer Windows-Server betreibt oder Flowise AI im Homelab nutzt, sollte jetzt sofort handeln.

Überblick: 163 Schwachstellen im April 2026 – der zweitgrößte Patch Tuesday der Geschichte

Mit 163 geschlossenen CVEs ist der April-Patch-Tuesday der zweitgrößte in der Geschichte von Microsoft – nur übertroffen vom Juli 2024 mit 170 CVEs. Zum Vergleich: Im März 2026 waren es 57 CVEs, im Februar 2026 lediglich 67. Die Verteilung im April:

  • 8 kritische Schwachstellen
  • 154 als wichtig eingestufte Schwachstellen
  • 1 als moderat eingestufte Schwachstelle

Nach Schwachstellentyp dominieren Privilege Escalation (EoP)-Lücken mit 57,1 % den Monat, gefolgt von Information Disclosure und Remote Code Execution (RCE) mit je 12,3 %. Für Admins zählt aber nicht die Quantität, sondern die Kritikalität – und die ist diesen Monat außergewöhnlich hoch.

CVE-2026-32201 – SharePoint 0-Day aktiv ausgenutzt

CVE-2026-32201 ist eine Spoofing-Schwachstelle in Microsoft SharePoint Server (CVSS 6,5), die laut Microsoft bereits aktiv in freier Wildbahn ausgenutzt wird. Der Angreifer muss authentifiziert sein, kann aber durch manipulierte Anfragen die Identität anderer Nutzer vortäuschen und auf fremde Daten zugreifen.

  • Betroffen: SharePoint Server 2016, 2019, SharePoint in Microsoft 365
  • Angriffspfad: Netzwerk, niedrige Komplexität, Angreifer muss angemeldet sein
  • Auswirkung: Spoofing / Datenzugriff unter fremder Identität
  • Patch-Maßnahme: Kumulatives Update für SharePoint sofort einspielen; On-Premise-Instanzen haben höchste Priorität

CVE-2026-33824 – Windows IKE RCE mit CVSS 9,8 (unauthentifiziert)

Die technisch gefährlichste Lücke des Monats: CVE-2026-33824 im Windows Internet Key Exchange (IKE) Service ermöglicht vollständige Remote Code Execution ohne jede Authentifizierung.

  • CVSS-Score: 9,8 (kritisch)
  • Betroffen: Windows Server 2019, 2022, 2025 mit aktiviertem IKE v2 / IPsec
  • Angriffspfad: Netzwerk, keine Authentifizierung nötig, keine Nutzerinteraktion erforderlich
  • Technik: Manipulierte IKE v2-Pakete triggern einen Speicherfehler im Kernel-Dienst
  • Besonders gefährdet: VPN-Gateways, Azure-VMs mit Site-to-Site-IPsec, Windows-Firewall mit erweiterten Regeln
  • Patch-Maßnahme: Windows-Update sofort einspielen; als Workaround IKE v2 deaktivieren, falls kein Update möglich

CVE-2026-33826 – Windows Active Directory RCE (CVSS 8,0)

CVE-2026-33826 ermöglicht Remote Code Execution direkt auf Windows Active Directory Domain Controllern (CVSS 8,0). Ein kompromittierter DC bedeutet den Totalverlust der gesamten Infrastruktur – Passwörter, Gruppenrichtlinien, Zertifikate, alles.

  • Betroffen: Windows Server 2019, 2022, 2025 als Domain Controller
  • Angriffspfad: Netzwerk, Angreifer benötigt Domain-User-Account (niedrige Rechte genügen)
  • Auswirkung: Vollständige Kompromittierung der AD-Infrastruktur möglich
  • Patch-Maßnahme: Kumulatives Update für Windows Server sofort auf allen DCs einspielen; SYSVOL-Replikation und DC-Logs nach Einspielung überwachen

Bonus: Flowise AI – CVE-2025-59528 mit CVSS 10,0 aktiv ausgenutzt

Besonders für die Homelab-Community relevant: CVE-2025-59528 betrifft Flowise AI – den beliebten Open-Source KI-Workflow-Builder – mit maximalem CVSS-Score von 10,0.

  • Betroffen: Flowise 2.2.7-patch.1 bis 3.0.5
  • Technik: Der CustomMCP-Node reicht User-Input direkt an JavaScripts Function()-Konstruktor weiter (entspricht eval())
  • Auswirkung: Vollständiger Zugriff auf Dateisystem, Shell-Ausführung als Prozess-User – ohne Authentifizierung
  • Reichweite: Über 12.000 öffentlich erreichbare Flowise-Instanzen waren zum Zeitpunkt der Veröffentlichung noch ungepatcht
  • Patch-Maßnahme: Sofort auf Flowise Version 3.0.6 aktualisieren; öffentliche Erreichbarkeit absichern

Weitere wichtige CVEs im April 2026

Neben den vier Hauptschwachstellen enthält der April-Patch-Tuesday weitere bemerkenswerte Fixes:

  • CVE-2026-33801 (Microsoft Exchange Server, RCE, CVSS 8,8): Authentifizierter Angreifer kann über manipulierte E-Mails Code auf dem Exchange-Server ausführen. Betrifft Exchange 2019 und Exchange Online Hybrid.
  • CVE-2026-33779 (Windows LDAP, Privilege Escalation, CVSS 7,8): Ermöglicht lokale Rechteausweitung via LDAP-Abfragen – relevant für multi-tenant Umgebungen.
  • CVE-2026-33900 (Microsoft Defender for Endpoint, Information Disclosure, CVSS 7,5): Sensor-Logs können unverschlüsselte Metadaten preisgeben.
  • CVE-2026-33851 (Windows Hyper-V, VM Escape, CVSS 8,1): Gastsystem kann unter bestimmten Bedingungen auf Host-Ressourcen zugreifen – kritisch für Proxmox/Hyper-V-Mischbetrieb.

So prüfst du, ob dein System gepatcht ist

Nicht jeder Admin bekommt Updates automatisch eingespielt. So überprüfst du den Patch-Status auf verschiedenen Wegen:

Windows Update (Einzelsysteme)

Einstellungen → Windows Update → Nach Updates suchen. Die relevanten KB-Artikel für April 2026 beginnen mit KB5058xxx (Windows 11/Server 2025) und KB5057xxx (Windows 10/Server 2019/2022). Nach der Installation sollte ein Neustart durchgeführt werden.

WSUS / Windows Server Update Services

In der WSUS-Konsole unter Updates → Alle Updates den Klassifikationsfilter auf „Sicherheitsupdates“ setzen und nach „April 2026“ filtern. Genehmigung und Verteilung für alle betroffenen Produktgruppen prüfen. Compliance-Report für kritische Systeme ausführen.

Microsoft Intune / Endpoint Manager

Im Intune-Admin-Center unter Geräte → Windows → Windows-Updates den Bereitstellungsring-Status prüfen. Der Bericht „Update-Compliance“ zeigt, welche Geräte die April-2026-Patches noch nicht erhalten haben. Für dringende Patches kann eine beschleunigte Bereitstellung direkt für kritische Gerätegruppen ausgelöst werden.

Handlungsempfehlungen: Prioritätsliste April 2026

  1. 🔴 SharePoint (CVE-2026-32201): Sofort patchen – aktiv in freier Wildbahn ausgenutzt
  2. 🔴 Windows IKE (CVE-2026-33824): Sofort patchen – unauthentifizierte RCE, CVSS 9,8
  3. 🔴 Active Directory (CVE-2026-33826): Sofort patchen – RCE auf Domain Controllern
  4. 🔴 Flowise AI (CVE-2025-59528): Update auf 3.0.6 – CVSS 10,0, aktiv ausgenutzt
  5. 🟠 Exchange Server (CVE-2026-33801): Schnellstmöglich patchen – RCE via E-Mail
  6. 🟠 Hyper-V (CVE-2026-33851): Patchen – VM Escape in virtualisierten Umgebungen

Fazit: April 2026 ist kein normaler Patch-Tuesday

163 CVEs, ein aktiv ausgenutzter Zero-Day, eine unauthentifizierte RCE mit CVSS 9,8, ein CVSS-10.0-Angriff auf ein KI-Tool und weitere kritische Lücken in Exchange und Hyper-V – der Microsoft Patch Tuesday April 2026 ist einer der gefährlichsten und umfangreichsten der letzten Jahre. Wer jetzt nicht patcht, riskiert Datenverlust, Ransomware-Angriffe und Infrastruktur-Totalverlust.

Jetzt handeln, nicht warten! Habt ihr euer System schon gepatcht? Gab es Probleme beim Einspielen der Updates? Teilt eure Erfahrungen in den Kommentaren!

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert