Microsoft hat am 14. April 2026 Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 163 Schwachstellen (CVEs), 8 kritisch, 2 davon wurden als 0-day klassifiziert (einer ausgenutzt). Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.
Hinweise zu den Updates
Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Windows 10/11, Windows Server
Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.
Im Oktober 2025 ist Windows 10 22H2 aus dem Support gefallen. Sicherheitsupdates gibt es nur noch für Nutzer einer ESU-Lizenz.
Windows Server 2012 R2
Für Windows Server 2012 /R2 ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).
Gefixte Schwachstellen
Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:
- CVE-2026-20945, CVE-2026-32201: Microsoft SharePoint Server Spoofing-Schwachstelle, CVSSv3 Score 4.6-6.5 (CVE-2026-32201), Important; Laut Microsoft wurde die Sicherheitslücke CVE-2026-32201 in der Praxis als Zero-Day-Exploit ausgenutzt. Microsoft hat Updates für SharePoint 2016, 2019 und die SharePoint Server Subscription Edition veröffentlicht, um diese Schwachstellen zu beheben.
- CVE-2026-33825: Microsoft Defender Elevation of Privilege-Schwachstelle, CVSSv3 Score 7.8, Important; Laut Microsoft wurde diese Sicherheitslücke öffentlich bekannt gegeben, bevor ein Patch zur Verfügung gestellt wurde. Obwohl in der Sicherheitsmitteilung von Microsoft kein öffentlicher Exploit-Code erwähnt wurde, scheint die Beschreibung auf einen Zero-Day-Exploit zuzutreffen, der unter dem Namen "BlueHammer" bekannt ist und dessen Code am 3. April auf GitHub veröffentlicht wurde (siehe BlueHammer: Windows 0-day-Schwachstelle"). Ein Forscher mit dem Pseudonym "Chaotic Eclipse" veröffentlichte den Exploit und äußerte Bedenken hinsichtlich der Vorgehensweise von Microsoft beim Offenlegungsprozess für Sicherheitslücken.
- CVE-2026-33826: Windows Active Directory Remote Code Execution-Schwachstelle, CVSSv3 Score 8.0, Critical; wurde gemäß dem Exploitability Index von Microsoft als "Exploitation More Likely" (Ausnutzung eher wahrscheinlich) eingestuft. Für eine erfolgreiche Ausnutzung muss ein authentifizierter Angreifer einen speziell gestalteten RPC-Aufruf an einen anfälligen RPC-Host senden, was zur Ausführung von Code mit denselben Berechtigungen wie der RPC-Host führt. Ungeachtet der Einschätzung der Ausnutzbarkeit und des Schweregrads weist der Microsoft-Sicherheitshinweis darauf hin, dass sich ein Angreifer in derselben eingeschränkten Active Directory-Domäne wie das Zielsystem befinden müsste, um diese Schwachstelle auszunutzen.
- CVE-2026-33824: Windows Internet Key Exchange (IKE) Service Extensions Remote Code Execution-Schwachstelle, CVSSv3 Score 9.8, Critical; Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer ausgenutzt werden, indem er speziell gestaltete Pakete an ein Zielsystem sendet, auf dem IKE Version 2 aktiviert ist. Der Sicherheitshinweis von Microsoft enthält einige Abhilfemaßnahmen, die angewendet werden können, falls eine sofortige Installation des Patches nicht möglich ist. Dazu gehören Firewall-Regeln für die UDP-Ports 500 und 4500.
- CVE-2026-2791: Windows BitLocker Security Feature Bypas-Schwachstelle, CVSSv3 Score 7.7, Important; Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte einem Angreifer das Umgehen von "Secure Boot" ermöglichen – eine Sicherheitsfunktion der UEFI-Firmware, die dafür sorgt, dass während des Startvorgangs nur vertrauenswürdige und ordnungsgemäß signierte Software ausgeführt wird. Obwohl zum Zeitpunkt der Veröffentlichung dieses Blogbeitrags noch keine Ausnutzung dieser Schwachstelle bekannt ist, stuft Microsoft diese Schwachstelle als "Ausnutzung eher wahrscheinlich" ein.
- CVE-2026-26151: Remote Desktop Spoofing-Schwachstelle, CVSSv3 Score 7.1, Important; Microsoft stuft diese Sicherheitslücke als "eher wahrscheinlich ausnutzbar" ein. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er ein Opfer dazu verleitet, eine manipulierte Datei zu öffnen. Diese Sicherheitslücke wurde vom britischen National Cyber Security Centre (NCSC) gemeldet. Bisher erhielten Benutzer keine Warnung, wenn sie versuchten, eine Remote Desktop Protocol (RDP)-Datei zu öffnen. Ab dem Sicherheitsupdate vom April 2026 erhalten Benutzer nun jedoch ausführlichere Warndialoge, wenn sie mit potenziell schädlichen RDP-Dateien interagieren (siehe diesen Supportbeitrag).
Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Ergänzung: Auch Talos hat inzwischen diesen Artikel mit einigen Hinweisen zu weiteren Schwachstellen veröffentlicht.
Ähnliche Artikel:
Microsoft Security Update Summary (14. April 2026)
Patchday: Windows 10/11 Updates (14. April 2026)
Patchday: Windows Server-Updates (14. April 2026)
Patchday: Microsoft Office Updates (14. April 2026)
Remote Desktop-Phishing-Schutz im April 2026-Update verursacht Verwirrung
Windows 11 April 2026-Updates (KB5083769, KB5082052) triggern BitLocker Recovery
Windows Server 2025: Update KB5082063 liefert Error 0x800F0983, 0x80073712
Windows Server 2025: Fehler 0x80073712 bei KB5082063 durch Media Player-Sprachpakete
Windows Server 2016-2025: Reboot von Domain Controllern durch April 2026-Update (KB5082063 etc.)
Windows April 2026-Updates verursachen Anmelde-Probleme
Windows Server Out-of-Band-Updates (19.4.2026) zur Fehlerkorrektur
MVP: 2013 – 2016
Updates zu Hause sind durch (W1125H2), aber das .Net Update hat fast 1,5h gedauert (Ryzen 3700U), es stand unglaublich lange bei 99%. Wäre interessant, ob das auch andere beobachten. Ansonsten lief erstmal alles gut mit 3 erforderlich Neustarts.
Erstes Test-Update auf W11 24H2 hat hier (inkl. .NET) insgesamt ca. 15-20 Minuten gedauert, sonst keine Auffälligkeiten.
Bei mir gings gerade bei 2 Notebooks sehr flott, obwohl das eine insgesamt 7 Pakete installiert hat.
Lief ohne Probleme innerhalb weniger Minuten durch, allerdings Windows 10.
Bei meinem Windows 11 PC war in 30 Minuten Alles
fehlerfrei installiert, und die Neustarts waren auch beendet.
( KB5082417, KB5083769 und KB890830 )
Bei 99% das ist ja ziemlich spät im Prozess. Ist ein Schuss ins blaue, aber das klingt für mich schon eher nach Verzögerungen beim aufräumen. Ist genug freier Speicher am C Laufwerk?
Mein privates Notebook, auch 25H2 hat gestern Abend sage und schreibe 5 Reboots durchgeführt. Zunächst mal zwei Stück, dann konnte ich mich wieder anmelden, und dann nach ner halben Stunde kam wieder eine Aufforderung zum Reboot, und dann fürchtete ich schon, es wäre in einer Boot-Schleife, weil es jedes Mal bei 100% 2-3 Minuten rumrödelte, ohne dass sich was auf dem Monitor tat und dann wieder neu startete. Erst nach dem Dritten Mal der zweiten Update-Welle konnte ich wieder anmelden, und das war dann tatsächlich das Monthly, was da zuletzt installiert wurde. Vorher, wie ich sehen konnte, das waren lauter eher unbedeutende Sachen wie .Net, Defender usw., wissen die Druiden aus Redmond warum das auch 2 Reboots erforderte. Insgesamt wurde 7 Pakete aktualisiert.
Für .NET gibt es auch wieder Sicherheitsupdates.
Ebenso Azure Connected Machine agent: Version 1.63 fixt CVE-2026-2673
Wieder keine Exchange Updates. Ob das Zufall sein soll, dass ESU-Käufer bislang kein Update erhalten haben?
Bei gespeicherten RDP-Verbindungen kommt jetzt eine zusätzliche Warnmeldung.
Beheben lässt sich das mit einem RegKey
REG ADD "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Terminal Services\Client" /V RedirectionWarningDialogVersion /t REG_DWORD /d 1 /f
Das klpappt natürlich nur mit lokalen Admin-Rechten
Habt ihr eine anderer Idee?
Danke für den Registry Tip. Diese Seite hat wieder mal nicht enttäuscht! ;)
You need this
HKCU\Software\Microsoft\Terminal Server Client\RdpLaunchConsentAccepted
to 1 (DWORD)
For "check" first warning. Yours key work for second asking (for user …lol) what they want forward.
And signed rdp file do nothing. I have file signed by CA authority deployed certificate, and hash in gpo. Have same shit and users call what is it …
Ich würde sagen das ist nicht "beheben" sondern "temporär umgehen".
Eine dauerhafte Lösung scheint nur das code signing mit rdpsign zu sein [0],[1].
Gerne lasse ich mich eines besseren belehren, da ich auch keinerlei Wunsch verspüre, Zertifikate zu erstellen und was alles dazu gehört.
[0] https://learn.microsoft.com/de-de/windows-server/administration/windows-commands/rdpsign
[1] https://learn.microsoft.com/de-de/windows-server/remote/remote-desktop-services/remotepc/understanding-security-warnings
Beachtet meinen Nachfolgebeitrag Remote Desktop-Phishing-Schutz im April 2026-Update verursacht Verwirrung
Laptop mit 24H2 ohne Probleme. Der Rechner hat drei mal neu gestartet. SecureBoot-Zertifikate können bei dem nicht durch Windows ausgetauscht werden, weil es ein Lenovo ThinkPad ist.