Am 12. Mai 2026 hat Microsoft 137 Schwachstellen in einem der umfangreichsten Patch Tuesdays der vergangenen Jahre geschlossen. 30 davon stuft Redmond als kritisch ein, 14 erreichen einen CVSSv3-Score von 9,0 oder höher. Bemerkenswert: Erstmals seit Juni 2024 ist kein einziger der Bugs als aktiv ausgenutzter Zero-Day bekannt. Das ist auf dem Papier eine Verschnaufpause. In der Praxis ist es das Gegenteil – denn zwei dieser Lücken treffen den Mittelstand exakt dort, wo die Authentifizierungs- und Namensauflösungsketten zusammenlaufen.

Wir haben uns das Update-Paket noch in der Nacht angesehen. Zwei CVEs stechen heraus, weil sie die typische Infrastruktur eines deutschen Mittelstandsunternehmens unauthentifiziert, ohne Nutzerinteraktion und über das Netzwerk treffen können: CVE-2026-41089 in Windows Netlogon und CVE-2026-41096 im Windows DNS Client. Beide tragen einen CVSS-Score von 9,8. Beide erlauben Remote Code Execution. Wer nach dem Wochenende nicht gepatcht hat, riskiert, dass Angreifer mit einem einzigen Paket die Kontrolle über den Domain Controller oder jeden Windows-Client im Netz übernehmen.

CVE-2026-41089: Wenn der Domain Controller selbst die offene Tür wird

Netlogon ist der Authentifizierungs-Service, der auf jedem Windows-Domain-Controller läuft. Er etabliert die sicheren Kanäle zwischen Clients, Mitgliedsservern und Domain Controllern, prüft Maschinen-Konten und verwaltet die Trust-Beziehungen einer Active-Directory-Domäne. Wenn Netlogon fällt, fällt die Domäne mit. Genau hier setzt CVE-2026-41089 an.

Die Lücke ist ein stack-based buffer overflow im Netlogon-Service. Ein nicht authentifizierter Angreifer im Netzwerk kann ein speziell präpariertes Paket an einen Windows-Server senden, der als Domain Controller arbeitet. Der Overflow überschreibt Rücksprungadressen auf dem Stack, der Angreifer führt Code im Kontext des Service aus – und Netlogon läuft auf Domain Controllern mit hohen Privilegien.

Es ist nicht der erste Netlogon-Bug dieser Klasse. Wer "ZeroLogon" (CVE-2020-1472) noch in Erinnerung hat, weiß, was eine kompromittierte Netlogon-Komponente bedeutet: Domain-Admin-Übernahme in Minuten, anschließend Ausbreitung über das gesamte Active Directory, Kerberos-Tickets im Goldenen-Ticket-Format, Persistenz, die kaum noch ausgeräumt werden kann ohne Forest-Reset. Microsoft stuft die Wahrscheinlichkeit einer Ausnutzung dieses Mal als "Less Likely" ein. Das ist ein Hinweis auf Komplexität, kein Schutzschild. Public Proof-of-Concept-Code für Stack-Buffer-Overflows auf Domain-Controllern lässt erfahrungsgemäß Wochen, nicht Monate auf sich warten.

Wer ist betroffen?

Praktisch jeder Mittelständler, der noch ein on-premises Active Directory betreibt – also die deutliche Mehrheit. Auch hybride Umgebungen mit Azure-AD-Connect haben weiterhin lokale Domain Controller. Vom 2-Standorte-Maschinenbauer bis zur 800-Mitarbeiter-Versicherung gilt: Wenn Sie einen DC haben, müssen Sie patchen.

CVE-2026-41096: Eine vergiftete DNS-Antwort kippt den ganzen Client

Die zweite Lücke, die wir gesondert hervorheben, ist mindestens genauso unangenehm – aus einem anderen Grund. CVE-2026-41096 ist eine heap-basierte Pufferüberlauf-Lücke im Windows DNS Client. Der DNS Client läuft auf jeder Windows-Maschine: Server, Workstation, Notebook, Domain-Controller, Terminal-Server. Eine speziell konstruierte DNS-Antwort reicht, um Code auf dem Zielsystem auszuführen. Es ist keine Authentifizierung nötig, keine Nutzerinteraktion, kein Klick.

Der Angriffsweg ist klassisch und gleichzeitig unangenehm vielseitig. Ein Angreifer mit Position im Netzwerk – Man-in-the-Middle in einem öffentlichen WLAN, ein kompromittierter Router im Branch Office, ein bösartiger DNS-Resolver, der über DHCP ausgerollt wurde, oder schlicht ein Rogue-DNS-Server in einem VPN-Verbund – kann jede DNS-Anfrage des Clients beantworten und mit der manipulierten Antwort die Kontrolle übernehmen.

Setzen Sie das in Relation zur Realität eines Mittelstandsunternehmens: Notebooks im Home-Office, Außendienst-Geräte in Hotel-WLANs, Maschinen, die per LTE-Modem nach Hause telefonieren, OT-Netze mit fragwürdiger DHCP-Hygiene – jedes dieser Szenarien ist ein Einfallstor. Microsoft selbst stuft die Ausnutzungswahrscheinlichkeit als gering ein, aber die schiere Angriffsfläche macht den Bug zur Priorität.

Die anderen 28 Critical-CVEs – ein Blick in die Liste

Wer den Patch Tuesday in einem Satz zusammenfassen will: Microsoft Office bekommt sieben kritische RCE-Patches (CVSS 7,8 bis 8,4), unter anderem vier in Word – darunter solche, die über die Vorschau-Funktion auslösbar sind, also ohne dass der Anwender das Dokument bewusst öffnet. Eine Lücke in Azure Logic Apps (CVE-2026-42823, CVSSv3 9,9) erlaubt authentifizierten Angreifern eine Privilege Escalation quer durch Workflows, Connector-Berechtigungen und Service-Identitäten. Hinzu kommen mehrere kritische Patches im Hyper-V-Stack und in der Windows-Kryptografie-Bibliothek. Wer Logic Apps für die Integration zwischen ERP, CRM und Microsoft 365 nutzt, sollte den Azure-Patch in dieser Woche priorisieren.

Konkrete Handlungsempfehlungen für den Mittelstand

Das ist kein Patch-Tuesday-Bulletin zum Abheften. Drei Schritte sollten in den kommenden 72 Stunden auf jedem Tisch liegen:

1. Domain Controller priorisieren. CVE-2026-41089 verlangt einen außerplanmäßigen Wartungsfenstertermin für alle DCs – idealerweise im selben Wartungsfenster, mindestens jedoch bis Donnerstagabend dieser Woche. Wer DCs in mehreren Standorten hat, sollte zudem die FSMO-Rollenverteilung kennen und sicherstellen, dass mindestens ein DC pro Site läuft, während gepatcht wird.

2. DNS-Client-Update breit ausrollen. CVE-2026-41096 trifft jedes Windows-Gerät. Der Patch muss über alle Endpunkte verteilt werden – inklusive Außendienst-Notebooks, RDP-Gateways, Citrix-Sessions und Server. Wer WSUS oder Intune einsetzt, sollte das Mai-Update als "Required" markieren und Reboot-Deadlines auf 48 Stunden setzen.

3. Office-Vorschau in Outlook und Explorer prüfen. Mehrere Word-Patches schließen Bugs, die über die Vorschau-Funktion auslösbar sind. Bis der Patch durch ist, lohnt es sich, in besonders exponierten Bereichen (Personalabteilung, Vertrieb, Geschäftsführung) die Vorschau temporär zu deaktivieren – per GPO ist das in wenigen Minuten erledigt.

Was tun, wenn der Patch nicht sofort möglich ist?

Es gibt Umgebungen, in denen ein Out-of-Band-Reboot des Domain Controllers nicht trivial ist – etwa wenn Anwendungen mit harter Kerberos-Bindung laufen oder wenn Replikationszeitfenster knapp sind. In diesen Fällen helfen kompensierende Maßnahmen: Netlogon-Traffic per Firewall auf die zwingend nötigen Subnetze einschränken (interne Authentifizierungsnetze, keine Gast-WLANs, kein Internet), DNS-Antworten nur von autoritativen, verwalteten Resolvern annehmen, DNSSEC dort aktivieren, wo es möglich ist. Diese Schritte ersetzen den Patch nicht, kaufen aber Zeit.

Erkennungs-Snippet für SIEM und EDR

Wer ein Detection-Backstop einbauen will, kann auf verdächtige Netlogon-RPC-Aufrufe und ungewöhnliche DNS-Antwortgrößen achten. Ein einfaches Beispiel für eine KQL-Query auf Microsoft Defender for Endpoint, die ungewöhnliche RPC-Aktivität auf Netlogon-Endpunkten erfasst:

DeviceNetworkEvents | where RemotePort == 445 or RemotePort == 135 | where LocalPort == 49664 or LocalPort == 49667 | summarize Count = count() by DeviceName, RemoteIP, bin(Timestamp, 5m) | where Count > 50

Das ist kein Ersatz für den Patch, aber ein Frühwarnsignal, wenn jemand das Netlogon-Interface von einer ungewöhnlichen Quelle aus probiert.

Wer unsicher ist, wie der eigene Patch-Stand aussieht, oder ob das Active Directory die für moderne Bedrohungen nötige Segmentierung hat, sollte den Mai 2026 zum Anlass nehmen, die Informationssicherheits-Architektur noch einmal mit einem externen Blick zu prüfen. Genau dafür sind wir bei pleXtec da.

Fazit: Kein Zero-Day heißt nicht keine Bedrohung

Der Mai 2026 ist ein Patch Tuesday ohne Schlagzeile, aber mit Substanz. Wer die Abwesenheit eines Zero-Days als Anlass nimmt, das Wartungsfenster nach hinten zu schieben, missversteht die Bedrohungslage. Stack-Buffer-Overflows in Netlogon und Heap-Overflows im DNS-Client gehören zu den begehrtesten Bug-Klassen für Angreifer, weil sie ohne Authentifizierung und ohne Nutzerinteraktion auskommen. Der erste funktionierende Exploit wird nicht in sechs Monaten auftauchen, sondern in den nächsten Wochen.

Für den Mittelstand gilt: Diese Woche patchen, nicht nächste. Und nutzen Sie die Gelegenheit, einmal kritisch zu fragen, wer in Ihrer Organisation eigentlich verantwortlich ist, wenn ein 9,8er Patch herausgeht – und wie schnell der Rollout durchläuft. Wenn die Antwort "kommt mit dem nächsten Update-Zyklus" ist, dann liegt das eigentliche Problem nicht in Redmond. Sprechen Sie uns an, wenn Sie Patch-Management, Schwachstellen-Scanning und Incident Response zu einem belastbaren Prozess zusammenbringen wollen – über die Kontaktseite oder direkt über unsere Leistungsübersicht.