Cyberkriminelle nutzen zunehmend Sicherheitslücken in Microsofts Unternehmenswelt aus – von Defender-Schwachstellen bis zu Cloud-Identitätsangriffen. Aktuelle Analysen zeigen eine besorgniserregende Eskalation.
Ransomware-Gruppen kapern Defender-Lücke
Eine schwerwiegende Sicherheitslücke in Microsoft Defender sorgt für Alarm. Die als CVE-2026-33825 (Codename „BlueHammer“) bekannte Schwachstelle ermöglicht authentifizierten Angreifern, SYSTEM-Rechte über die Security Account Manager-Datenbank zu erlangen. Obwohl Microsoft bereits am 14. April 2026 einen Patch auslieferte und die US-Behörde CISA die Lücke am 22. April in ihren Katalog bekannter ausgenutzter Schwachstellen aufnahm, zeigt sich nun ein düsteres Bild.
Sicherheitsberichte vom 30. Juni und 1. Juli 2026 bestätigen: Ransomware-Banden haben den Exploit in ihre aktiven Kampagnen integriert. Forscher von Huntress berichten, dass die Schwachstelle bereits vor dem April-Patch als Zero-Day ausgenutzt wurde. Öffentlich verfügbarer Proof-of-Code macht die Sache zusätzlich brisant.
SharePoint und Exchange: Die Dauerbrenner
Auch Server-seitige Schwachstellen bleiben ein Einfallstor erster Wahl. Am 1. Juli 2026 ergänzte CISA die Lücke CVE-2026-45659 in SharePoint Server – eine Deserialisierungs-Schwachstelle, die Codeausführung aus der Ferne ermöglicht. Betroffen sind die Subscription Edition sowie ältere Versionen wie SharePoint Server 2019 und Enterprise Server 2016. Zwar erfordert der Angriff eine Authentifizierung, doch die Komplexität gilt als gering – und kein Nutzer-Eingriff nötig.
Die jüngste Password-Spray-Kampagne gegen Azure CLI zeigt: 81 Millionen Anmeldeversuche führten zur Kompromittierung von 78 Konten – oft durch umgangene MFA. Dieser Report liefert die entscheidenden Schutzmaßnahmen für Ihr Unternehmen. Jetzt kostenlosen Sicherheits-Report anfordern
Exchange Server steht ebenfalls unter Druck. Bereits im Frühjahr wurde die Cross-Site-Scripting-Lücke CVE-2026-42897 in Outlook Web Access bekannt. Der Patch vom 9. Juni 2026 kam spät: Die Schwachstelle wurde aktiv ausgenutzt, Nutzer mussten lediglich eine präparierte E-Mail öffnen. Hinzu kommt die SSRF-Lücke CVE-2026-45504, ebenfalls im Juni geschlossen, die autorisierten Angreifern das Auslesen lokaler Dateien über Exchange Web Services ermöglichte.
Das Ausmaß der Patching-Bemühungen zeigt der Juni-Patch-Tuesday: 33 Updates für 244 Schwachstellen, darunter 15 kritische. Der nächste planmäßige Wartungstermin ist der 14. Juli 2026.
Office-Lücken und Cloud-Angriffe in gigantischem Ausmaß
Auch die Produktivitätsanwendungen sind betroffen. Am 2. Juli 2026 veröffentlichte Microsoft Notfall-Updates für CVE-2026-21509, eine Sicherheitsfunktionsumgehung in Microsoft Office. Die Schwachstelle betrifft Microsoft 365 Apps for Enterprise sowie mehrere LTSC-Versionen und wird Berichten zufolge durch manipulierte Office-Dateien ausgenutzt. Während viele Versionen bereits Updates erhielten, waren Patches für Office 2016 und 2019 zum Zeitpunkt der Meldung noch ausstehend.
ROPC-Flow-Umgehungen und ungepatchte Defender-Lücken: Wer seine Cloud-Identitäten nicht absichert, riskiert den Totalausfall. Der Report zeigt, wie Sie mit einem Notfallplan und 5 Sofortmaßnahmen Ihre Systeme schützen. Notfallplan für Azure-Identitäten sichern
Doch die größte Bedrohung lauert in der Cloud. Zwischen dem 12. und 21. Juni 2026 fand eine massive Password-Spray-Kampagne gegen die Azure Command Line Interface statt. Die Analyse von Huntress offenbart erschreckende Zahlen: 81 Millionen Anmeldeversuche führten zur Kompromittierung von 78 Konten in 64 Organisationen. Die Angreifer nutzten den Resource Owner Password Credentials-Fluss, um die Multi-Faktor-Authentifizierung zu umgehen – in Umgebungen, in denen MFA nicht strikt für alle Anwendungen durchgesetzt wurde.
Parallel dazu haben sich Phishing-Techniken weiterentwickelt. Das ARToken-Phishing-Panel, das bereits ab dem 20. April 2026 Microsoft-365-Konten im Life-Sciences-Sektor ins Visier nahm, ermöglicht Angreifern den Diebstahl von OAuth-2.0-Tokens. Für eine einmalige Gebühr von 1.500 Euro plus monatliche Kosten konnten Kriminelle so unbefugten Zugriff auf Mailboxen und SharePoint-Daten erlangen.

