Patch Tuesday Mai 2026: 130 Windows-Lücken

Am 13. Mai 2026 veröffentlichte Microsoft im Rahmen seines monatlichen Patch-Tuesday-Zyklus ein umfangreiches Paket an Sicherheitsupdates. Laut Security.NL beheben die Updates über 130 Schwachstellen in Windows-Produkten, darunter eine Lücke, die schwerwiegend genug ist, um eine selbstständige Ausbreitung ohne jegliche Nutzerinteraktion zu ermöglichen.

Was wurde gefunden?

Laut Security.NL ist das dringlichste Problem eine Schwachstelle in der Windows-Netlogon-Komponente, erfasst als CVE-2026-41089. Diese Lücke ermöglicht es einem Angreifer, auf Domain-Controllern Code aus der Ferne auszuführen. Domain-Controller sind die Server, die Benutzerkonten und Zugriffsrechte in einem Netzwerk verwalten. Zur Ausnutzung sind weder Anmeldedaten noch eine Nutzerinteraktion erforderlich.

Security.NL berichtet außerdem von zwei weiteren bemerkenswerten Schwachstellen. CVE-2026-41096 betrifft den Windows-DNS-Client in Windows 11 und Windows Server 2025, und CVE-2026-40415 steckt in der Windows-TCP/IP-Komponente. Beide können laut Bericht ohne Authentifizierung oder Nutzerinteraktion ausgenutzt werden, das heißt, ein Angreifer muss niemanden dazu bringen, auf einen Link zu klicken oder eine Datei zu öffnen.

Warum ist das relevant?

Die Netlogon-Lücke und die TCP/IP-Lücke werden von Security.NL als „wurmfähig" beschrieben, was bedeutet, dass sich Schadsoftware potenziell selbstständig von einem Rechner auf den nächsten ausbreiten könnte, ohne dass jemand einen Fehler begeht. Solche Schwachstellen verbreiten sich erfahrungsgemäß schnell, sobald sie in der Praxis ausgenutzt werden.

Für kleine Unternehmen, die auf Windows-Server oder gemeinsam genutzte Bürorechner angewiesen sind, ist dies eine gute Erinnerung daran, dass das Aktualisieren von Software eine der wirksamsten Schutzmaßnahmen ist. Laut Bericht installieren sich Microsofts Updates auf den meisten Geräten automatisch, es lohnt sich jedoch zu prüfen, ob die automatischen Updates tatsächlich aktiviert sind.

Was bedeutet das für Ihre Website?

Wenn Ihre Website auf einem Windows-Server läuft oder wenn der Computer, mit dem Sie Ihre Website verwalten, Windows verwendet, ist die zeitnahe Installation der neuesten Microsoft-Updates ein sinnvoller Schritt. Veraltete Software ist einer der häufigsten Wege, über den Angreifer Zugang zu Unternehmenssystemen und den dort gespeicherten Daten erlangen. Unternehmen, die personenbezogene Daten verarbeiten, sollten bedenken, dass die DSGVO und das BDSG geeignete technische Schutzmaßnahmen vorschreiben, zu denen das zeitnahe Einspielen von Sicherheitsupdates zählt. Praktische Hinweise finden Sie in unserer Sicherheits-Checkliste für kleine Unternehmen sowie in unserem Leitfaden zu anfälligen Plugins.