Microsoft schließt an einem einzigen Patchday 570 Sicherheitslücken, fast dreimal so viele wie im bisherigen Rekordmonat. Zwei davon greifen Angreifer bereits an. Verantwortlich für die Flut ist ausgerechnet die KI: Sie findet Schwachstellen schneller, als Administratoren sie schließen.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Microsofts Patchday im Juli 2026 sprengt jeden bisherigen Rahmen. 570 Schwachstellen[1] an einem Tag zwingen IT-Abteilungen zu einer Triage, für die kaum ein Mittelständler gerüstet ist. Hinter der Rekordzahl steckt kein einzelner Ausreißer, sondern ein struktureller Wandel.

Das Wichtigste in Kürze

  • 570 Lücken bedeuten fast das Dreifache des Vormonats-Rekords, rund 59 davon kritisch.
  • Unter den drei Zero-Days werden zwei bereits aktiv ausgenutzt: in den Active Directory Federation Services und in SharePoint.
  • Microsoft führt die Explosion auf KI-gestützte Schwachstellensuche zurück, intern wie durch externe Red Teams.
  • Unter NIS2 gilt: die zwei ausgenutzten Lücken sofort, den Rest nach Kritikalität.

Warum meldet Microsoft plötzlich dreimal so viele Lücken?

Roter Eimer voller Pflaster, Schild mit Text, kleine Figur am Rand sitzend, vor weißem Hintergrund
KI-Tools durchsuchen Code schneller und finden Schwachstellen, die menschliche Prüfer übersehen haben

Nicht die Software wird unsicherer, sondern die Suche schneller. KI-Werkzeuge durchforsten heute mehr Code in kürzerer Zeit und stoßen dabei auf Fehlerklassen, die menschlichen Prüfern jahrelang entgangen sind.

Microsoft benennt die Ursache selbst. „Das Tempo, in dem Schwachstellen entdeckt werden, verändert sich mit den Fortschritten der KI: Sie findet mehr Fehler, schneller und über mehr Code hinweg“, erklärt Pavan Davuluri, bei Microsoft als Executive Vice President für Windows verantwortlich.

Rund 59 der Lücken stuft Microsoft als kritisch ein, allein 48 davon erlauben das Ausführen von fremdem Code aus der Ferne.

Bemerkenswert ist der zweite Rekordmonat in Folge. Auch andere Hersteller spüren den Effekt, wie der SAP-Patchday mit einer 9,9-Lücke zeigt. Tenable-Analyst Satnam Narang verweist zudem auf Funde von Anthropics Red Team, das mit KI das Zeitfenster zum Patchen weiter verkürzt.

Welche drei Zero-Days zählen wirklich?

Zwei Lücken werden bereits ausgenutzt: eine in den Active Directory Federation Services (CVE-2026-56155) und eine in SharePoint (CVE-2026-56164), über die Angreifer ohne Anmeldung höhere Rechte im Netzwerk erlangen. Beide gehören zuerst gepatcht.

Besonders heikel ist die SharePoint-Lücke, weil eine fehlende Authentifizierungsprüfung einem nicht angemeldeten Angreifer die Rechteausweitung über das Netzwerk erlaubt. SharePoint bildet in unzähligen deutschen Unternehmen das Rückgrat der Zusammenarbeit.

Der dritte Zero-Day (CVE-2026-50661) hebelt die BitLocker-Verschlüsselung aus, ist bislang aber nur öffentlich bekannt und nicht ausgenutzt. Für Aufsehen sorgt zusätzlich eine Copilot-Lücke (CVSS 9,6), über die eine präparierte Webseite Schadcode ausführen kann.

Die KI hat die Rollen getauscht: Sie findet die Lücken im Rekordtempo und liefert mit dem Copilot gleich die nächste Angriffsfläche. Ein starrer Monatsrhythmus beim Patchen verteidigt da nur noch mit dem Kalender von gestern.

— Markus Seyfferth, Chefredakteur Dr. Web
Microsofts Rekord-Patchday im Juli 2026
570 Sicherheitslücken an einem Tag, angetrieben durch KI-gestützte Schwachstellensuche
570
geschlossene Lücken, fast das Dreifache des Vormonats
59
als kritisch eingestuft, 48 davon zur Codeausführung
3
Zero-Days, davon 2 bereits aktiv ausgenutzt
2. Mal
Rekordmonat in Folge bei der Zahl der Patches
Die 570 Lücken nach Angriffsart
Rechteausweitung
254
Codeausführung aus der Ferne
145
Informationsleck
102
Dienstblockade
35
CVE-2026-56155
AD Federation Services
Rechteausweitung, aktiv ausgenutzt
CVE-2026-56164
SharePoint Server
Rechteausweitung ohne Anmeldung, aktiv ausgenutzt
CVE-2026-50661
Windows BitLocker
Verschlüsselung umgehbar, öffentlich bekannt

Was deutsche IT-Verantwortliche jetzt tun sollten

Erst die zwei aktiv ausgenutzten Zero-Days einspielen, dann exponierte Server wie SharePoint und Exchange, zuletzt den Rest. Ein pauschales „alles sofort“ ist bei 570 Patches weder machbar noch sinnvoll.

Sicherheitsforscher Brian Krebs rät, mit unkritischen Updates einige Tage zu warten, um Stabilitätsprobleme zu vermeiden. Bei aktiv ausgenutzten Zero-Days gilt das Gegenteil.

Zügiges Patchen ist dabei keine Kür mehr. Die NIS2-Pflichten machen das Schwachstellenmanagement zur Chefsache, und das BSI erwartet ein nachvollziehbares Verfahren. Wird eine bekannte Lücke geschleift, steht im Ernstfall auch der Schutz der Cyberversicherung infrage.

Praktisch heißt das: die zwei ausgenutzten Kennungen zuerst, danach der Rest über einen Testring und eine nach Kritikalität dokumentierte Reihenfolge. Weil das Zeitfenster zwischen Fund und Angriff schrumpft, wird der reine Monatstakt zunehmend zum Risiko.

Quelle

[1] Krebs on Security: „Microsoft Patches a Record 570 Security Flaws“

Mehr Newshunger?

4,4 14 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?