Microsoft: 163 CVEs auf einen Streich

Ganze 163 Schwachstellen arbeitete Microsoft diese Woche bei seinem jüngsten Patch-Dienstag ab, eine der höchsten je gemessenen Zahlen. Dass diese "monströse" Anzahl nur kurz nach dem Beginn von Anthropics auf Claude Mythos aufbauender Initiative Glass Wing erfolgt, ist laut Microsoft allerdings purer Zufall.

Bei vielen Administratoren, IT-Verantwortlichen und Dienstleistern ist Microsofts monatlicher Patch-Dienstag, an dem der Softwaregigant stets einige Lücken in seinen Produkten schließt, ein fester Eintrag in ihrem Arbeitskalender. Diese Woche brachte er ihnen besonders viel Arbeit ein. Microsoft legte satte 163 offiziell registrierte Common Vulnerabilities and Exposures (CvE) offen, und damit deutlich mehr als üblich. Die Schwachstellen gingen dabei quer durch Portfolio, von Windows und Office samt ihrer Komponenten über .NET, Visual Studio, Edge und BitLocker bis hin zu SQL Server, Hyper-V Server und Azure. Rechnet man noch die Drittanbieter-Patches und das große Chromium-Release dazu, waren es insgesamt sogar 247 Updates.

Ein Wert, den Dustin Childs, den Leiter der Threat Awareness von Trend Micros Unternehmenssparte TrendAI, in einem Blogbeitrag als "monströs" bezeichnet, und der umgehend zu Spekulationen führte. Denn erst vor wenigen Tagen hatte das KI-Unternehmen Anthropic mit Glasswing eine Initiative gestartet, die Softwareherstellern wie Microsoft die Möglichkeit gibt, exklusiv die enormen Fähigkeiten des neuen Claude-Modells Mythos im Auffinden von Schwachstellen zu nutzen, um ihren Code zu überprüfen. Das soll Mythos so gut machen, dass es laut Anthropic "alle außer den erfahrensten Menschen beim Finden und Ausnutzen von Software-Schwachstellen übertreffen" kann. Und auch einige Experten erwarten sich von dieser nächsten Generation von KI-Tools nicht weniger als eine Revolution der IT-Security.

"Meiner Einschätzung nach ist dies die zweitgrößte monatliche Veröffentlichung in Microsofts Geschichte", rechnet Childs vor. "Es gibt viele mögliche Gründe für diesen Umfang. Aber wenn Microsoft ähnlich wie andere Anbieter (einschließlich uns) vorgeht, verzeichnen sie wahrscheinlich einen deutlichen Anstieg der von KI-Tools entdeckten Sicherheitslücken. Bei uns hat sich die Zahl der eingehenden Meldungen praktisch verdreifacht, was die Triage – gelinde gesagt – zu einer Herausforderung macht." Was auch immer der Hintergrund sein möge, "wir haben diesen Monat eine Menge Bugs zu bearbeiten", so Childs weiter. Anschließend verweist er noch auf das nächsten Monat in Berlin stattfindende Pwn2Own, in dessen Vorfeld die Hersteller ihre Patch-Aktivitäten meist etwas verstärken.

Microsoft dementiert KI-Beteiligung an der Lücken-Flut

Auf Anfrage von CRN dementiert Microsoft jedoch einen solchen direkten Zusammenhang zwischen den jüngsten KI-Entwicklungen rund um intelligente Schwachstellen-Spürnasen wie Mythos und dem außergewöhnlichen Patch-Day. Zwar nutze auch das Microsoft Security Response Center aktiv KI-Modelle, um seine Arbeit zu "beschleunigen" und "um Schwachstellen schneller zu finden und zu beheben, damit Kunden besser geschützt werden". Das habe jedoch im aktuellen Fall keine nennenswerte Rolle gespielt. "Die heutige Veröffentlichung spiegelt keinen signifikanten Anstieg KI‑basierter Entdeckungen wider, obwohl wir eine Schwachstelle einem Anthropic-Forscher, der Claude nutzt, zugeschrieben haben", heißt es in der Stellungnahme. Insofern wäre die Zunahme just zum jetzigen Zeitpunkt also reiner Zufall und nicht den neuen Tools und Möglichkeiten geschuldet.

Weiter erklärt der Hersteller im Hinblick auf die außergewöhnliche Vielzahl an Patches, dass sein Microsoft Security Response Center (MSRC) jedes Jahr Tausende Schwachstellenberichte von internen und externen Forschern und Spezialisten verarbeite, "so dass die Anzahl der behobenen Schwachstellen an jedem Update-Dienstag variieren kann".

Wenige kritische Schwachstellen

Nur zwei der am Dienstag bearbeiteten Schwachstellen wurde nach derzeitigen Erkenntnissen bereits aktiv ausgenutzt. Neben einer Chromium-Lücke (CVE-2026-5281) betrifft das auch eine Spoofing-Lücke in Sharepoint (CVE-2026-32201). Auch wenn deren Gefahr mit einem CVSS-Score von 6,5 lediglich als wichtig bewertet wurde, empfiehlt TrendAI-Experte Childs schnelles Handeln: "Ich würde nicht zögern, diesen Fix zu testen und zu installieren – besonders, wenn Sie internetverbundene SharePoint-Server haben."

Insgesamt zehn der Lücken sind als kritisch eingestuft, die meisten davon wegen einer möglichen Remote-Ausführung von Code (RCE). Sie betreffen unter anderem Office (CVE-2026-32190), Word (CVE-2026-33114 und CVE-2026-33115), die Windows Internet Key Exchange (IKE) Service Extensions (CVE-2026-33824), das Windows Active Directory (CVE-2026-33826) sowie eine DoS-Schwachstelle im .NET-Framework (CVE-2026-23666).

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden