Microsoft Security Update Summary (14. April 2026)

Microsoft hat am 14. April 2026 Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte  – veröffentlicht. Die Sicherheitsupdates beseitigen 163 Schwachstellen (CVEs), 8 kritisch, 2 davon wurden als 0-day klassifiziert (einer ausgenutzt). Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.

Hinweise zu den Updates

Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.

Windows 10/11, Windows Server

Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.

Im Oktober 2025 ist Windows 10 22H2 aus dem Support gefallen. Sicherheitsupdates gibt es  nur noch für Nutzer einer ESU-Lizenz.

Windows Server 2012 R2

Für Windows Server 2012 /R2 ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).

Gefixte Schwachstellen

Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:

• CVE-2026-20945, CVE-2026-32201: Microsoft SharePoint Server Spoofing-Schwachstelle, CVSSv3 Score 4.6-6.5 (CVE-2026-32201), Important; Laut Microsoft wurde die Sicherheitslücke CVE-2026-32201 in der Praxis als Zero-Day-Exploit ausgenutzt. Microsoft hat Updates für SharePoint 2016, 2019 und die SharePoint Server Subscription Edition veröffentlicht, um diese Schwachstellen zu beheben.
• CVE-2026-33825: Microsoft Defender Elevation of Privilege-Schwachstelle, CVSSv3 Score 7.8, Important; Laut Microsoft wurde diese Sicherheitslücke öffentlich bekannt gegeben, bevor ein Patch zur Verfügung gestellt wurde. Obwohl in der Sicherheitsmitteilung von Microsoft kein öffentlicher Exploit-Code erwähnt wurde, scheint die Beschreibung auf einen Zero-Day-Exploit zuzutreffen, der unter dem Namen "BlueHammer" bekannt ist und dessen Code am 3. April auf GitHub veröffentlicht wurde (siehe BlueHammer: Windows 0-day-Schwachstelle"). Ein Forscher mit dem Pseudonym "Chaotic Eclipse" veröffentlichte den Exploit und äußerte Bedenken hinsichtlich der Vorgehensweise von Microsoft beim Offenlegungsprozess für Sicherheitslücken.
• CVE-2026-33826: Windows Active Directory Remote Code Execution-Schwachstelle, CVSSv3 Score 8.0, Critical; wurde gemäß dem Exploitability Index von Microsoft als "Exploitation More Likely" (Ausnutzung eher wahrscheinlich) eingestuft. Für eine erfolgreiche Ausnutzung muss ein authentifizierter Angreifer einen speziell gestalteten RPC-Aufruf an einen anfälligen RPC-Host senden, was zur Ausführung von Code mit denselben Berechtigungen wie der RPC-Host führt. Ungeachtet der Einschätzung der Ausnutzbarkeit und des Schweregrads weist der Microsoft-Sicherheitshinweis darauf hin, dass sich ein Angreifer in derselben eingeschränkten Active Directory-Domäne wie das Zielsystem befinden müsste, um diese Schwachstelle auszunutzen.
• CVE-2026-33824: Windows Internet Key Exchange (IKE) Service Extensions Remote Code Execution-Schwachstelle, CVSSv3 Score 9.8, Critical; Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer ausgenutzt werden, indem er speziell gestaltete Pakete an ein Zielsystem sendet, auf dem IKE Version 2 aktiviert ist. Der Sicherheitshinweis von Microsoft enthält einige Abhilfemaßnahmen, die angewendet werden können, falls eine sofortige Installation des Patches nicht möglich ist. Dazu gehören Firewall-Regeln für die UDP-Ports 500 und 4500.
• CVE-2026-2791: Windows BitLocker Security Feature Bypas-Schwachstelle, CVSSv3 Score 7.7, Important; Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte einem Angreifer das Umgehen von "Secure Boot" ermöglichen – eine Sicherheitsfunktion der UEFI-Firmware, die dafür sorgt, dass während des Startvorgangs nur vertrauenswürdige und ordnungsgemäß signierte Software ausgeführt wird. Obwohl zum Zeitpunkt der Veröffentlichung dieses Blogbeitrags noch keine Ausnutzung dieser Schwachstelle bekannt ist, stuft Microsoft diese Schwachstelle als "Ausnutzung eher wahrscheinlich" ein.
• CVE-2026-26151: Remote Desktop Spoofing-Schwachstelle, CVSSv3 Score 7.1, Important; Microsoft stuft diese Sicherheitslücke als "eher wahrscheinlich ausnutzbar" ein. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er ein Opfer dazu verleitet, eine manipulierte Datei zu öffnen. Diese Sicherheitslücke wurde vom britischen National Cyber Security Centre (NCSC) gemeldet. Bisher erhielten Benutzer keine Warnung, wenn sie versuchten, eine Remote Desktop Protocol (RDP)-Datei zu öffnen. Ab dem Sicherheitsupdate vom April 2026 erhalten Benutzer nun jedoch ausführlichere Warndialoge, wenn sie mit potenziell schädlichen RDP-Dateien interagieren (siehe diesen Supportbeitrag).

Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar.  Ergänzung: Auch Talos hat inzwischen diesen Artikel mit einigen Hinweisen zu weiteren Schwachstellen veröffentlicht.

Ähnliche Artikel:
Microsoft Security Update Summary (14. April 2026)
Patchday: Windows 10/11 Updates (14. April 2026)
Patchday: Windows Server-Updates (14. April 2026)
Patchday: Microsoft Office Updates (14. April 2026)