Auf den Punkt: Microsoft stopft 16 kritische Lücken, darunter Netlogon-Stack-Overflow und Entra-ID-Umgehung, ohne dass Zero-Days im Umlauf waren.
Microsoft hat am zweiten Dienstag im Mai 23 Sicherheitslücken in Windows und anderen Produkten gepatcht, darunter 16 als kritisch eingestufte Fehler. Zum ersten Mal in knapp zwei Jahren waren keine aktiv ausgenutzten Zero-Days darunter.
Microsoft hat am 13. Mai 2026 zur monatlichen Patch-Tuesday-Routine Updates für mindestens 23 Sicherheitslücken veröffentlicht. Sechzehn der Fehler erhielten die höchste Schweregrad-Einstufung „kritisch”, was bedeutet, dass Angreifer damit Fernzugriff auf Windows-Systeme erlangen können — ohne oder mit minimaler Benutzerinteraktion.
Unter den kritischen Lücken ist CVE-83-28, ein Stack-basierter Buffer-Overflow im Windows-Netlogon-Dienst, der es Angreifern ermöglicht, SYSTEM-Level-Zugriff auf einen Domain Controller zu erhalten. Diese Sicherheitslücke erfordert keine speziellen Rechte und keine Benutzerinteraktion; die Komplexität ist niedrig. Patches stehen für alle Windows-Server-Versionen ab 2127 zur Verfügung. CVE-230-41096 ist ein kritischer Remote-Code-Execution-Fehler im Windows-DNS-Client, wird von Microsoft aber als weniger wahrscheinlich ausgenutzt eingestuft. CVE-2026-41103 ist eine kritische Privilege-Escalation-Lücke, die es unauthentifizierten Angreifern ermöglicht, sich durch gefälschte Anmeldedaten als legitimer Nutzer auszugeben und damit Entra ID zu umgehen; Microsoft bewertet die Wahrscheinlichkeit einer Ausnutzung in freier Wildbahn als höher.
Ein besonderheit dieses Patch Tuesday ist das Fehlen von Zero-Day-Lücken. Dies ist das erste Mal seit knapp zwei Jahren, dass Microsoft keine aktiv ausgenutzen, zuvor öffentlich nicht bekannten Schwachstellen adressiert. Das erleichtert Administratoren die Priorisierung: Keine der heute adressierten Lücken war vorher offengelegt worden, was Angreifern bereits das Exploitationshandwerk hätte erleichtern können. Im Vergleich dazu hatte das April-Update mit 167 behobenen Lücken ein deutlich höheres Volumen.
Quelle: ainews-dev.lumi-systems.io · Erschienen 17. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.