Heute, am 14. April 2026, hat Microsoft im Rahmen des monatlichen Patch-Tuesday-Zyklus Sicherheitsupdates für insgesamt 167 Schwachstellen veröffentlicht – darunter zwei Zero-Day-Lücken, von denen eine bereits aktiv in realen Angriffen ausgenutzt wird. Mit acht als „Kritisch" eingestuften Sicherheitslücken, sieben davon für Remote Code Execution, ist dieser Patchday einer der umfangreichsten der ersten Jahreshälfte 2026. Für IT-Teams in Unternehmen bedeutet das: unverzügliches Handeln ist angesagt.

Zwei Zero-Days im Fokus

Besondere Aufmerksamkeit verdienen in diesem Monat zwei Schwachstellen, die Microsoft als Zero-Days klassifiziert hat – eine davon wird bereits aktiv in Angriffen genutzt, die andere war öffentlich bekannt, bevor ein Patch vorlag.

SharePoint Server Spoofing – aktiv ausgenutzt

Die gefährlichste Lücke dieses Patchdays ist eine Microsoft SharePoint Server Spoofing-Schwachstelle, die nach Informationen von Microsoft bereits in realen Angriffen eingesetzt wurde. Die Schwachstelle entsteht durch eine fehlerhafte Eingabevalidierung in SharePoint, die es einem nicht authentifizierten Angreifer ermöglicht, über das Netzwerk Spoofing-Angriffe durchzuführen. Ein erfolgreicher Angriff erlaubt den Zugriff auf vertrauliche Informationen sowie deren Manipulation.

Microsoft hat keine Angaben darüber gemacht, wie die Lücke konkret ausgenutzt wurde oder wer sie gemeldet hat – ein Hinweis darauf, dass die Meldung möglicherweise im Zusammenhang mit einer laufenden Strafverfolgung steht. Für Organisationen, die SharePoint Server on-premises betreiben, gilt: Dieser Patch hat höchste Priorität. SharePoint-Instanzen sind seit Jahren ein bevorzugtes Ziel für Angreifer, da sie häufig sensible Dokumente, interne Prozesse und Zugangsdaten beherbergen. Wer SharePoint noch nicht aktualisiert hat, sollte das umgehend nachholen – idealerweise noch heute.

Microsoft Defender – Privilegienerweiterung zu SYSTEM

Die zweite Zero-Day-Lücke betrifft Microsoft Defender und ermöglicht eine lokale Privilegienerweiterung bis auf SYSTEM-Ebene. Diese Schwachstelle ist nicht remote ausnutzbar, wird aber typischerweise in zweistufigen Angriffsketten eingesetzt: Ein Angreifer, der bereits initialen Zugang zu einem Gerät erlangt hat – etwa über eine Phishing-Mail oder eine andere Schwachstelle – kann diese Lücke nutzen, um vollständige Systemkontrolle zu erlangen. Gerade in Kombination mit der SharePoint-Lücke ergibt sich ein gefährlicher Angriffspfad: initialer Zugang via SharePoint, anschließende Privilegienerweiterung via Defender-Lücke.

Acht kritische Schwachstellen – sieben davon für Remote Code Execution

Neben den beiden Zero-Days hat Microsoft diesen Monat acht Schwachstellen als „Kritisch" eingestuft. Sieben davon ermöglichen Remote Code Execution (RCE) – also die Ausführung von beliebigem Code auf dem Zielsystem aus der Ferne, ohne dass der Angreifer physischen Zugang benötigt. Die achte kritische Lücke ist ein Denial-of-Service-Angriff, der Systeme gezielt zum Absturz bringen kann.

Besonders im Fokus stehen zwei Schwachstellen in osslsigncode, einem Open-Source-Tool zur Signierung von Windows-Executables, das in vielen Entwicklungs- und Build-Umgebungen eingesetzt wird:

  • CVE-2026-39856: Out-of-Bounds-Read bei der PE-Page-Hash-Berechnung – kann zur Informationsoffenlegung und zu Abstürzen führen, unter bestimmten Bedingungen potenziell für Code-Ausführung nutzbar.
  • CVE-2026-39855: Integer-Underflow in osslsigncode beim Verarbeiten von PE-Dateien – mit kritischer CVSS-Einstufung und potenziell für Remote Code Execution ausnutzbar.

Für Entwicklungsumgebungen und Build-Pipelines, die osslsigncode zur Code-Signierung verwenden, sind diese Patches besonders relevant. Gerade vor dem Hintergrund zunehmender Software-Supply-Chain-Angriffe sollten Build-Systeme grundsätzlich auf dem aktuellen Patchstand gehalten werden.

Secure Boot-Zertifikate: Der Countdown läuft weiter

Auch in diesem Monat setzt Microsoft die planmäßige Erneuerung der Secure Boot-Datenbanken fort. Hintergrund: Am 26. Juni 2026 laufen die alten Secure Boot-Zertifikate ab. Microsoft verteilt die neuen Schlüssel schrittweise über monatliche Patchdays, um einen reibungslosen Übergang zu gewährleisten. Organisationen, die die letzten Patches noch nicht eingespielt haben, riskieren, dass ihre Systeme nach dem Ablaufdatum Startprobleme bekommen – besonders bei älteren Boot-Konfigurationen.

IT-Abteilungen sollten sicherstellen, dass alle Windows-Systeme – insbesondere Server und kritische Workstations – regelmäßig aktualisiert werden, um den Secure Boot-Rollout nicht zu versäumen. Wer hier im Rückstand ist, sollte jetzt aufholen.

Zahlen im Kontext: Ein besonders umfangreicher Patchday

167 gepatchte Schwachstellen sind für einen einzelnen Patchday bemerkenswert. Zum Vergleich: Im März 2026 waren es 79, im Februar 58, im Januar 114 Sicherheitslücken. Der April-Patchday ist damit der umfangreichste des Jahres und reiht sich in eine Tendenz ein, die Sicherheitsexperten seit Jahresbeginn beobachten: Die Komplexität der Microsoft-Produktlandschaft wächst, und damit auch die Angriffsfläche. Für Informationssicherheits-Verantwortliche bedeutet das, dass Patch-Management keine sporadische Aufgabe sein darf, sondern als kontinuierlicher, priorisierter Prozess organisiert sein muss.

Was IT-Teams jetzt konkret tun sollten

Angesichts der zwei Zero-Days – einer davon bereits aktiv ausgenutzt – und der acht kritischen Lücken empfehlen wir folgende Sofortmaßnahmen:

1. SharePoint-Instanzen sofort patchen. Wer SharePoint Server on-premises betreibt, sollte den April-Patch unverzüglich einspielen. Die Spoofing-Lücke wird bereits aktiv ausgenutzt – jede Stunde Verzögerung erhöht das Angriffsrisiko konkret.

2. Windows Defender aktuell halten. Die Privilege-Escalation-Lücke in Defender ist in zweistufigen Angriffsketten besonders gefährlich. Stellen Sie sicher, dass Windows Defender auf allen Systemen auf dem neuesten Stand ist, bevor weitere Lücken als Einstiegspunkt genutzt werden können.

3. Build-Pipelines auf osslsigncode prüfen. Entwicklerteams, die osslsigncode in CI/CD-Pipelines zur Code-Signierung verwenden, sollten sofort auf die gepatchte Version wechseln und ältere Builds auf Kompromittierungen überprüfen.

4. Patch-Rollout priorisiert planen. Bei 167 Patches empfiehlt sich eine klare Rollout-Strategie: Zero-Days und kritische RCE-Lücken zuerst, gefolgt von den übrigen wichtigen Patches. Automatisiertes Patch-Management kann dabei erheblich Aufwand sparen.

5. Monitoring in den nächsten Tagen verschärfen. Erfahrungsgemäß steigt die Angriffsaktivität kurz nach einem Patchday: Angreifer analysieren die veröffentlichten Patches und entwickeln Exploits für noch ungepatchte Systeme. Erhöhen Sie die Log-Überwachung auf SharePoint- und Defender-relevante Ereignisse.

Benötigen Sie Unterstützung beim strukturierten Patch-Management, bei der Bewertung Ihrer Sicherheitslage oder beim Aufbau eines Vulnerability-Management-Prozesses? Das pleXtec-Team steht Ihnen zur Seite – nehmen Sie noch heute Kontakt auf.

Fazit

Der April-Patchday 2026 ist ein Weckruf. 167 Sicherheitslücken, zwei Zero-Days und acht kritische RCE-Schwachstellen zeigen: Microsoft-Umgebungen sind komplex und ständig im Visier von Angreifern. Wer heute patcht, schützt sich vor den Angriffen von morgen. Wer wartet, riskiert, in den Schlagzeilen zu landen – als Opfer, nicht als Vorsichtiger.