Microsoft hat am 13. Mai 2026 den Mai-Patch-Tuesday ausgerollt — und der ist diesmal ein dicker Brocken: 118 CVEs auf einen Schlag, davon 16 als Critical eingestuft, 102 als Important. Das wirklich Bemerkenswerte ist aber, was NICHT drinsteht. Zum ersten Mal seit Juni 2024 musste Microsoft KEINE Zero-Day-Lücke gleichzeitig mit dem Patch schließen, die schon ausgenutzt wird.
KEIN Zero-Day — aber trotzdem heißer Tag
Das ist die Schlagzeile, die für Sysadmins wirklich zählt. Seit zwei Jahren war jeder Patch Tuesday eine kleine Notfall-Übung: Schnellst möglich die Zero-Day-Patches drauf, bevor die Exploit-Welle rollt. Diesmal können Teams das Update planen, statt es um Mitternacht durchzuziehen. Zur Ruhe bedeutet das aber NICHT — die kritischen Critical-CVEs haben es trotzdem in sich.
NETLOGON-HORROR: CVE-2026-41089 mit CVSS 9.8
Der Top-Fund ist eine RCE-Schwachstelle im Windows-Netlogon-Dienst — also genau dem Domain-Authentifizierungs-Service, an dem deine Domain-Controller hängen. Ein unauthentifizierter Angreifer kann mit einem präparierten Netzwerkpaket Code auf einem Domain-Controller ausführen. Stack-Based Buffer Overflow, klassisch und brutal. Wer das in produktiven AD-Umgebungen offen lässt, riskiert sofort komplette Domain-Übernahme.
SSO-PLUGIN-PEINLICHKEIT: Jira und Confluence im Visier
Eine zweite kritische Lücke trifft das Microsoft-Single-Sign-On-Plugin für Atlassian Jira und Confluence (CVE-2026-41103, CVSS 9.1). Microsoft selbst stuft die Exploitability als „More Likely“ ein. Heißt: Wer Atlassian on-prem mit Entra ID via SSO-Plugin betreibt, hat eine Privilege-Escalation-Lücke offen, sobald ein Login-Vorgang läuft. Sofort patchen.
WORD-VORSCHAU als Einfallstor (RCE)
Auch Office bekommt seinen Anteil: CVE-2026-40367 und drei weitere Word-RCEs sind drin, jeweils mit CVSS 8.4. CVE-2026-40361 und CVE-2026-40364 hat Microsoft als „Exploitation More Likely“ markiert. Bedeutet: Eine bösartige .docx, in der Outlook-Preview geöffnet, reicht für Code-Execution. Klassisches Phishing-Szenario. Office-Update auf allen Endpoints einplanen.
SO PRIORISIERST DU DEN ROLL-OUT
Drei-Stufen-Plan:
- Sofort: Domain-Controller-Patches (Netlogon CVE-2026-41089). Ohne intakte DCs steht das gesamte Active Directory still.
- Kurzfristig: SSO-Plugin für Jira/Confluence + Office-Updates auf allen Mail-Empfangs-Maschinen.
- Mittelfristig: Die restlichen 100 Important-Patches als regulären Update-Cycle, am besten in der nächsten Wartungsnacht.
UNGLAUBLICH: Vulnerability-Mix bleibt klassisch
Die Verteilung des Mai-Bündels: Elevation of Privilege (EoP) macht 48,3 % aus, Remote Code Execution (RCE) 24,6 %. Das ist das übliche Bild der letzten Quartale. Microsoft schiebt also weiter primär an Privilege-Boundaries und Memory-Safety-Bugs herum.
FAZIT
Aufatmen — aber NUR kurz. Kein Zero-Day im Bündel ist wirklich gute Nachricht. Dass trotzdem 16 Critical-Patches dabei sind, ist Standard-Microsoft-Mai. Wer rollt sofort, schläft ruhiger.
Quellen: Microsoft Security Update Guide, Tenable Blog Mai 2026, BleepingComputer, Help Net Security, Krebs on Security, Talos Intelligence.
Häufige Fragen
Wie merke ich, ob mein Domain-Controller verwundbar ist?
Get-HotFix | Where-Object {$_.HotFixID -like 'KB*'} zeigt installierte Updates an.