**
Der Softwarekonzern hat diese Woche mehrere dringende Sicherheitsupdates für seine Power Apps-Plattform veröffentlicht. Im Fokus stehen eine schwerwiegende Sicherheitslücke, die Code-Ausführung aus der Ferne ermöglicht (RCE), sowie ein kritischer Sicherheitsumgehungs-Fehler. Branchenbeobachter sehen einen klaren Trend: Immer mehr Schwachstellen werden durch Künstliche Intelligenz entdeckt.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Guide jetzt kostenlos herunterladen
Zwei kritische Lücken in Power Apps entdeckt
Bereits Anfang der Woche identifizierten Sicherheitsforscher eine neue RCE-Schwachstelle in Microsoft Power Apps, registriert als CVE-2026-32172. Die am 23. April gemeldete Lücke erlaubt Angreifern, beliebigen Code in der Power Apps-Umgebung auszuführen. Ersten technischen Analysen zufolge liegt die Ursache in einer fehlerhaften Verarbeitung bestimmter Anwendungsfunktionen.
Dieser Entdeckung vorausgegangen war eine weitere gravierende Schwachstelle: CVE-2026-26149. Mit einem CVSS-Score von 9,0 gilt sie als kritisch. Sie betrifft die Windows-Version von Power Apps. Laut Sicherheitshinweisen von Tenable und dem Microsoft Security Response Center (MSRC) neutralisiert der Fehler Sicherheitswarnungen nicht ordnungsgemäß. Ein autorisierter Angreifer könnte über das Netzwerk Sicherheitsdialoge umgehen und Nutzer zu ungewollten Aktionen verleiten.
Obwohl Microsoft einige dieser Lücken als kurzfristig weniger ausnutzbar einstuft, zwingen die hohen Risikobewertungen zum sofortigen Handeln. Die Power Apps-Plattform wird zunehmend für geschäftskritische Workflows genutzt – ein attraktives Ziel für Angreifer, die in Unternehmensnetzwerke eindringen wollen.
Rekordverdächtiger April-Patch-Zyklus und der Aufstieg der KI
Die aktuellen Power Apps-Updates sind Teil eines beispiellosen Sicherheitszyklus. Forscher sprechen von einer monströsen Anzahl an Veröffentlichungen. Im April 2026 schloss Microsoft mehr als 160 Schwachstellen (CVEs). Rechnet man Updates von Drittanbietern und den Chromium-basierten Edge-Browser hinzu, summiert sich die Zahl der Sicherheitsupdates auf rund 247.
Dustin Childs, Forscher bei TrendAI, vermutet einen direkten Zusammenhang mit hochentwickelten KI-Werkzeugen zur Schwachstellenforschung. Aktuelle Branchenberichte zeigen, dass neuere große Sprachmodelle wie das unveröffentlichte Claude Mythos von Anthropic die meisten menschlichen Forscher beim Identifizieren und Ausnutzen von Softwarefehlern übertreffen. Analysten von Forrester warnen: Die KI-getriebene Entdeckung wird die bestehenden Verfahren zur Schwachstellenverwaltung grundlegend verändern. Bei einigen Organisationen habe sich die Zahl der eingehenden Meldungen verdreifacht.
Neben Power Apps wurden im April zwei Zero-Day-Lücken geschlossen: CVE-2026-32201, ein SharePoint-Spoofing-Fehler, wird bereits aktiv ausgenutzt. CVE-2026-33825, eine Sicherheitslücke in Microsoft Defender mit dem Codenamen Blue Hammer, wurde öffentlich bekannt, bevor ein Patch verfügbar war.
Notfall-Update für ASP.NET Core
Die Sicherheitslage wird durch ein weiteres Ereignis verschärft: Am 21. April veröffentlichte Microsoft ein außerplanmäßiges Notfall-Update für ASP.NET Core. Die Schwachstelle CVE-2026-40372 mit einem CVSS-Score von 9,1 befindet sich in den Data Protection-Kryptografie-APIs.
Entdeckt wurde der Fehler, nachdem Nutzer meldeten, dass die Entschlüsselung nach einem vorherigen Update fehlschlug. Microsoft-Programmmanager Rahul Bhandari warnte: Die Lücke könnte nicht authentifizierten Angreifern ermöglichen, Authentifizierungs-Cookies zu fälschen und Systemrechte zu erlangen. Betroffen sind vor allem Anwendungen auf Linux und macOS, die bestimmte NuGet-Pakete nutzen.
Sicherheitsexperten betonen: Selbst nach Installation des Patches Version 10.0.7 könnten Unternehmen gefährdet sein, wenn Angreifer während des Verwundbarkeitszeitraums gültige Token ausgestellt haben. Microsoft empfiehlt, den Data Protection-Key-Ring zu rotieren, um gefälschte Payloads vollständig zu entwerten.
Branchenanalyse: Systemische Probleme in der Cloud
Das schiere Ausmaß der April-Updates stellt IT-Abteilungen vor enorme Herausforderungen. Jack Bicer, Direktor für Schwachstellenforschung bei Action1, warnt vor gefährlichen Verkettungen: Ein Angreifer könnte einen ersten Zugang über die SharePoint-Lücke nutzen, um über die Microsoft Defender-Sicherheitslücke seine Rechte auszuweiten – bis zur vollständigen Systemkontrolle.
Die Häufung von RCE-Lücken in Cloud-Plattformen wie Power Apps und Dynamics 365 zeigt die anhaltenden Risiken digitaler Innovation. Forscher von Stratus Security weisen auf wiederkehrende Probleme in diesen Web-APIs hin, die auf systemische Schwachstellen in der Sicherheitsarchitektur hindeuten. Die Tatsache, dass ähnliche Lücken mehrfach in unterschiedlicher Form gemeldet und gepatcht wurden, legt nahe, dass weitere unentdeckte Schwachstellen existieren.
Angesichts der zunehmenden KI-getriebenen Bedrohungslage ist ein proaktiver Schutz entscheidend. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie IT-Sicherheitslücken ohne teure Investitionen schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Kostenloses E-Book: Cyber-Security-Trends 2024 sichern
Handlungsempfehlungen für Unternehmen
Stand 24. April 2026 sollten Administratoren die Power Apps- und ASP.NET Core-Updates priorisiert einspielen. Angesichts der KI-gestützten Geschwindigkeit, mit der neue Exploit-Ketten entwickelt werden können, schrumpft das Zeitfenster zwischen Entdeckung und Ausnutzung dramatisch.
Microsoft rät Unternehmen, sich nicht auf einzelne Sicherheitsmechanismen zu verlassen. Für Power Platform-Nutzer bedeutet das: Robuste Authentifizierungsprüfungen implementieren und Audit-Logs auf ungewöhnliche Aktivitäten überwachen – besonders bei benutzerdefinierten Connectoren und externen Protokollaufrufen. Die Branche rechnet mit einer weiterhin hohen Zahl von CVE-Meldungen, da Forscher und Angreifer gleichermaßen zunehmend KI-Modelle einsetzen, um Schwachstellen in großen Software-Ökosystemen aufzuspüren.
