Hauptanalyse
Sicherheit & Risiko6 Min.

Microsoft veröffentlicht Rekord von 622 CVEs am Patch Tuesday; CISA beschleunigt Warnung für SharePoint

Centro de operações de segurança escuro à noite com painel de monitores exibindo alertas críticos em vermelho e um analista solitário com fones.

Der Juli-Zyklus ist der größte in der Geschichte des Programms. CISA fügte am selben Tag drei aktiv ausgenutzte SharePoint-Schwachstellen hinzu. Die Klassifizierung wurde zum echten Engpass des Betriebs.

Microsoft hat am Patch Tuesday, dem 14. Juli, Korrekturen für 622 CVEs veröffentlicht, das höchste Volumen in einem einzigen Zyklus seit Beginn des Programms. Zwei dieser Bugs, in Active Directory und SharePoint Server, sind aktiv als Zero-Day ausgenutzt. Eine dritte ist öffentlich bekannt, wird jedoch noch nicht ausgenutzt.


Am selben Tag gab die CISA eine spezifische Warnung zur aktiven Ausnutzung von drei verschiedenen CVEs für SharePoint on-premises heraus. Diese drei, CVE-2026-32201, CVE-2026-45659 und CVE-2026-56164, ermöglichen die Remote-Ausführung von Code und die Eskalation von Berechtigungen ohne Authentifizierung und werden im Katalog der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities, KEV) mit einer verpflichtenden Korrekturfrist für Bundesbehörden aufgenommen. Die betroffenen Versionen umfassen SharePoint Server Subscription Edition, 2019 und 2016.


Das operative Detail, das Besorgnis erregt, ist die Persistenz nach der Ausnutzung, die von der Agentur beschrieben wird. Angreifer extrahieren Maschinen-Schlüssel aus dem IIS und verwenden Deserialisierungstechniken, um den Zugriff auch nach dem Patch aufrechtzuerhalten. Das Anwenden des Updates behebt nicht das Incident. Antwortteams, die SharePoint on-premises betreiben, müssen Maschinen-Schlüssel rotieren, IIS-Protokolle überprüfen und verbleibende Artefakte suchen, bevor sie die Umgebung als sauber ansehen.


Wo das Problem aufhört, Microsoft zu sein


Die Erhöhung der Berechtigungen im VMSwitch von Windows (CVE-2026-57092, CVSS 9.9) ist die schwerwiegendste einzelne Schwachstelle des Zyklus. VMSwitch ist die Komponente von Hyper-V, die Lasten innerhalb desselben physischen Hosts trennt. Eine Erhöhung an diesem Punkt bricht die Isolierung zwischen virtuellen Maschinen auf demselben Server, was die Schwachstelle in Multi-Tenant-Umgebungen und bei Anbietern, die Kunden auf gemeinsam genutzter Hardware konsolidieren, kritisch macht. Azure Stack HCI und private Cluster, die Hyper-V betreiben, stehen an vorderster Front der Exposition.


Analysten der Zero Day Initiative wiesen in einer Analyse des vorherigen Zyklus darauf hin, dass der Patch Tuesday nicht mehr als monatliche Übung gilt, sondern fast tägliche Klassifizierung erfordert. Das Volumen von 622 Korrekturen in einem einzigen Monat übertrifft bei weitem den historischen Rekord des Programms. Teams für das Schwachstellenmanagement, die mit monatlicher Frequenz arbeiteten, müssen nun Offenlegungen von Dritten und Anbietern im zweiwöchigen Fenster verarbeiten, um ein Anhäufen von Patching-Schulden zu vermeiden.


Was sich für den CIO in Frankfurt, London und Tokio ändert


Die gesetzliche Verpflichtung der CISA beschränkt sich auf US-Bundesbehörden, aber die Aufnahme in die KEV fungiert als globales technisches Signal. Europäische Banken, die SharePoint on-premises betreiben, einschließlich der Deutschen Bank und BNP Paribas, sowie Finanzgruppen in Japan wie MUFG und Mizuho, betrachten die Liste als internen Compliance-Parameter, auch wenn sie nicht unter die direkte Jurisdiktion der amerikanischen Agentur fallen. Externe Prüfer verwenden die KEV als Benchmark in SOC 2- und ISO 27001-Routinen.


In Indien haben Managed Service Provider, die globale Kunden bedienen, ein engeres Zeitfenster. TCS, Wipro und Infosys betreiben Patching- und SIEM-Verträge für Dutzende von US-Banken und -Versicherungen, und die Aufnahme in die KEV löst interne Korrektur-SLAs aus, typischerweise zwischen 24 und 72 Stunden für aktive Schwachstellen. Mehrjahresverträge sehen Strafen für Nichteinhaltung vor, was den Betrieb bis zum Abschluss des Zyklus in einen Bereitschaftsdienst zwingt. Für Brasilien ist die Rechnung ähnlich: Banken, die SharePoint on-premises in von der Zentralbank regulierten Umgebungen betreiben, stützen sich auf eine Rundschreiben zur Verwaltung von Cyberrisiken, das die KEV als technische Referenz behandelt, auch wenn keine formale Verpflichtung besteht.


Was nicht in der Mitteilung steht


Weder Microsoft noch die CISA haben Gruppen genannt, die hinter der Ausnutzung stehen. Es gibt keine öffentliche Zuordnung zu staatlichen oder finanziell motivierten Akteuren an diesem Dienstag. Die Abwesenheit ist relevant: In früheren Zyklen, in denen SharePoint Ziel koordinierter Kampagnen war, kam die erste Zuordnung von privaten Anbietern für Threat Intelligence, nicht von der Regierung, und wies auf Gruppen hin, die mit China und Russland verbunden sind. Das Fehlen eines Namens in dieser Runde bedeutet nicht das Fehlen bekannter Angreifer, sondern nur, dass die Agentur beschlossen hat, öffentlich nicht zu bestätigen.


Der echte Engpass des Zyklus ist menschlich. Laut dem CVEbrief vom Dienstag ist das Volumen kritischer Offenlegungen um etwa 700 % im Vergleich zum Vortag gestiegen. Teams für das Schwachstellenmanagement mit zehn oder weniger Personen, die die Mehrheit der Global 2000-Betriebe ausmachen, können nicht sechs Hundert Positionen in drei Werktagen priorisieren. Die operative Frage hat sich von "Wann anwenden" zu "Was als Rest-Risiko bis zum nächsten Zyklus akzeptieren" verändert, mit einer expliziten Geschäftsentscheidung darüber, welche Server eine zusätzliche Woche exponiert bleiben. Die Antwort auf diese Frage ist, wo CISOs die nächsten fünfzehn Tage investieren werden, nicht in die technische Umsetzung des Patches.

Hauptanalyse