**Microsofts** April 2026 Patch Tuesday behebt rekordverdächtige 169 Sicherheitslücken und übertrifft damit alle bisherigen Updates bis auf eines in Bezug auf die Größe. Dieser umfangreiche Patch adressiert kritische Schwachstellen im gesamten Produktportfolio des Unternehmens, darunter eine Zero-Day-Schwachstelle, die derzeit ausgenutzt wird. ### Aufschlüsselung der Schwachstellen Von den 169 behobenen Schwachstellen sind 157 als "Wichtig", acht als "Kritisch", drei als "Mittelmäßig" und eine als "Niedrig" eingestuft. Die Mehrheit dieser Lücken (93) sind Schwachstellen zur Privilegieneskalation, gefolgt von Informationspreisgabe (21), Remote Code Execution (21), Umgehung von Sicherheitsfunktionen (14), Spoofing (10) und Denial-of-Service (9). Die Updates enthalten auch vier CVEs, die von anderen Parteien als **Microsoft** herausgegeben wurden und **AMD** (**CVE-2023-20585**), **Node.js** (**CVE-2026-21637**), Windows Secure Boot (**CVE-2026-25250**) und **Git for Windows** (**CVE-2026-32631**) betreffen. Dies kommt zu den 78 Schwachstellen hinzu, die im auf Chromium basierenden Edge-Browser seit dem letzten Update behoben wurden. ### Ein rekordverdächtiger Patch Diese Veröffentlichung ist der zweitgrößte Patch Tuesday aller Zeiten und liegt nur hinter Oktober 2025, als **Microsoft** 183 Lücken behoben hat. **Satnam Narang**, Senior Staff Research Engineer bei **Tenable**, merkte an, dass bei anhaltendem Tempo im Jahr 2026 wahrscheinlich über 1.000 Patch Tuesday CVEs zu erwarten sind. Narang beobachtete weiter die Dominanz von Privilegieneskalationsfehlern in den jüngsten Patch Tuesday-Zyklen, die 57 % aller im April behobenen CVEs ausmachen. Remote Code Execution (RCE)-Schwachstellen sind auf 12 % gesunken und liegen damit gleichauf mit Schwachstellen zur Informationspreisgabe. ### Aktiv ausgenutzte Schwachstelle: CVE-2026-32201 Die aktiv ausgenutzte Schwachstelle ist **CVE-2026-32201** (CVSS-Score: 6,5), eine Spoofing-Schwachstelle in **Microsoft SharePoint Server**. Laut **Microsoft** ermöglicht eine unsachgemäße Eingabevalidierung einem nicht autorisierten Angreifer, Spoofing über ein Netzwerk durchzuführen, wodurch potenziell sensible Informationen eingesehen oder Änderungen an offengelegten Informationen vorgenommen werden können. Obwohl die Schwachstelle intern entdeckt wurde, sind die Einzelheiten ihrer Ausnutzung, die beteiligten Akteure und das Ausmaß der Angriffe derzeit unbekannt. **Mike Walters**, Präsident und Mitbegründer von **Action1**, betonte, dass diese Lücke es Angreifern ermöglicht, die Darstellung von Informationen für Benutzer zu manipulieren und sie potenziell dazu zu verleiten, bösartige Inhalte zu vertrauen. Die U.S. Cybersecurity and Infrastructure Security Agency (**CISA**) hat **CVE-2026-32201** in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen und fordert die Behörden des Federal Civilian Executive Branch (FCEB) auf, die Schwachstelle bis zum 28. April 2026 zu beheben. ### Öffentlich bekannte Schwachstelle: CVE-2026-33825 (BlueHammer) Eine weitere bemerkenswerte Schwachstelle ist **CVE-2026-33825**, eine Privilegieneskalationslücke in **Microsoft Defender** (CVSS-Score: 7,8), die zum Zeitpunkt der Veröffentlichung öffentlich bekannt war. Diese Lücke könnte es einem autorisierten Angreifer ermöglichen, lokal die Privilegien zu erhöhen, indem er die mangelnden angemessenen granularen Zugriffskontrollen von **Defender** ausnutzt. **Microsoft** gibt an, dass keine Benutzeraktion erforderlich ist, um das Update für **CVE-2026-33825** zu installieren, da die Plattform standardmäßig häufig selbst aktualisiert wird. Systeme, auf denen **Microsoft Defender** deaktiviert ist, sind nicht anfällig. Es wird davon ausgegangen, dass dieser Patch einen Zero-Day-Exploit namens **BlueHammer** behebt, der am 3. April 2026 von einem Sicherheitsforscher auf **GitHub** geteilt wurde, nachdem es zu einem Streit mit **Microsoft** über den Prozess der Offenlegung von Schwachstellen kam. Der Zugriff auf das Exploit-Repository erfordert derzeit ein **GitHub**-Login. **Cyderes** erklärt, dass **BlueHammer** den **Microsoft Defender**-Updateprozess über Volume Shadow Copy-Missbrauch ausnutzt, um die Privilegien auf NT AUTHORITY\SYSTEM zu eskalieren, indem legitime Windows-Funktionen verkettet werden. Die Forscher **Rahul Ramesh** und **Reegun Jayapaul** von **Cyderes** beschrieben detailliert, wie **BlueHammer** Cloud Files-Callbacks und Oplocks verwendet, um **Defender** während der Erstellung eines temporären Volume Shadow Copy-Snapshots anzuhalten, wodurch die SAM-, SYSTEM- und SECURITY-Registrierungshives zugänglich bleiben. **Will Dormann** bestätigte auf Mastodon, dass der **BlueHammer**-Exploit nicht mehr funktioniert und durch **CVE-2026-33825** behoben zu sein scheint, obwohl einige Komponenten des Exploits möglicherweise noch funktionieren. ### Kritische Remote Code Execution-Schwachstelle: CVE-2026-33824 Unter den schwerwiegendsten Schwachstellen ist **CVE-2026-33824**, eine Remote Code Execution-Lücke, die die Windows Internet Key Exchange (IKE) Service Extensions betrifft und einen CVSS-Score von 9,8 von 10,0 aufweist. **Adam Barnett**, Lead Software Engineer bei **Rapid7**, erklärte, dass die Ausnutzung erfordert, dass ein Angreifer speziell präparierte Pakete an eine Windows-Maschine mit aktiviertem IKE v2 sendet, was potenziell zu Remote Code Execution führen kann. Barnett hob die Seltenheit von nicht authentifizierten RCE-Schwachstellen bei modernen Windows-Assets hervor, betonte jedoch die inhärente Anfälligkeit von IKE angesichts seiner Rolle bei der Bereitstellung von sicheren Tunnelverhandlungsdiensten für VPNs. **Walters** warnte, dass diese Lücke eine ernsthafte Bedrohung für Unternehmensumgebungen darstellt, insbesondere für solche, die VPN oder IPsec für sichere Kommunikation nutzen. Eine erfolgreiche Ausnutzung könnte zu einer vollständigen Systemkompromittierung führen, die Datendiebstahl, Betriebsunterbrechungen oder laterale Bewegungen im Netzwerk ermöglicht. Das Fehlen einer erforderlichen Benutzerinteraktion und das Potenzial für weit verbreitete Angriffe machen diese Schwachstelle besonders gefährlich für internetseitige Systeme, die IKEv2-Dienste ausführen.