Microsoft July 2026 Patch Tuesday Zero-Day trifft SharePoint

Der Microsoft July 2026 Patch Tuesday zero-day-Umfang ist der größte bisher veröffentlichte — je nach Zählmethode nennen Tracker 570 bis 622 CVEs — und zwei der geschlossenen Lücken wurden bereits vor Veröffentlichung des Patches aktiv ausgenutzt: eine in Active Directory Federation Services, eine in SharePoint Server. Ein separater, öffentlich bekannter BitLocker-Bypass bringt die Zahl auf vier unterschiedliche BitLocker-Bypass-Techniken innerhalb von fünf Wochen.
Was ist passiert
Der Microsoft July 2026 Patch Tuesday zero-day-Release vom 14. Juli 2026 ist Microsofts größtes CVE-Paket bisher. CVE-2026-56155 (CVSS 7.8) ist eine Privilege-Escalation-Schwachstelle in Active Directory Federation Services: unzureichend granulare Zugriffskontrolle erlaubt einem Angreifer mit bereits vorhandenem lokalem Zugriff die Rechteausweitung auf Administrator. CVE-2026-56164 ist eine Privilege-Escalation-Schwachstelle in SharePoint Server, als remote ausnutzbar mit geringer Angriffskomplexität beschrieben, betroffen sind SharePoint Server 2016, 2019, Enterprise Server 2016 und Subscription Edition. Beide wurden vor Veröffentlichung des Patches als aktiv ausgenutzt bestätigt — CISA hat beide am selben Tag in den Known Exploited Vulnerabilities-Katalog aufgenommen.
Derselbe Release legt CVE-2026-50661 offen, einen Bypass der BitLocker-Geräteverschlüsselung. Microsoft bewertet aktive Ausnutzung als „Less Likely“ mit CVSS 6.1, doch es reicht physischer Zugriff auf das Gerät — kein Netzwerkvektor, keine Zugangsdaten nötig. Es ist die vierte unterschiedliche BitLocker-Bypass-Technik, die DIESEC seit Anfang Juni verfolgt, nach einem Pre-Boot-Proof-of-Concept, dem YellowKey-Bypass (CVE-2026-50507, Juni-Patchday) und GreatXML (23. Juni).
Warum das wichtig ist
SharePoint hatte innerhalb von fünf Wochen bereits zwei separat ausgenutzte Zero-Days — diesen und CVE-2026-45659 vom 6. Juli, eine andere CVE im selben Produkt. AD FS und SharePoint stehen im Zentrum unternehmensweiter Vertrauensketten: Identitätsföderation und Dokumenten-Kollaboration sind genau die Plattformen, die einem Angreifer nach Kompromittierung breite laterale Reichweite verschaffen — deshalb tauchen sie wiederholt als ausgenutzte Zero-Days auf, nicht als Einzelfälle. Für den deutschen Mittelstand unter NIS2 bedeutet ein vierter BitLocker-Bypass in fünf Wochen zudem, dass TPM-only-„Verschlüsselung im Ruhezustand“-Aussagen für physisch zugängliche Laptops laufend gegen Artikel 21(2)(h) und ISO-27001-Maßnahme A.8.24 neu verifiziert werden müssen — eine im Juni korrekte Compliance-Antwort kann im Juli nicht mehr gelten.
Was Sie jetzt tun sollten
- Spielen Sie das Juli-2026-Kumulativupdate umgehend auf alle Windows-Server-Domänencontroller mit AD FS und alle SharePoint-Server-Farmen ein — beide ausgenutzten Zero-Days erfordern genau dieses Release, kein späteres.
- Prüfen Sie, ob Ihre SharePoint-Farm auf 2016, 2019, Enterprise 2016 oder Subscription Edition läuft; SharePoint Online ist von CVE-2026-56164 nicht betroffen, bestätigen Sie aber zuerst Ihren Farm-Typ, bevor Sie sich als unbetroffen einstufen.
- Prüfen Sie bei Endgeräten, deren „Data at Rest“-Compliance auf BitLocker beruht, ob der Schutz von TPM-only-Modus abhängt; falls ja, behandeln Sie Szenarien mit physischem Zugriff (verlorene/gestohlene Geräte, Insider-Zugriff) als offene Lücke, bis CVE-2026-50661 flächendeckend gepatcht ist.
- Überwachen Sie AD-FS-Eventlogs auf Privilege-Escalation-Indikatoren und prüfen Sie kürzliche lokale Admin-Rechtevergaben auf Federation-Servern — CVE-2026-56155 setzt vorherigen lokalen Zugriff voraus, laterale Bewegung im Vorfeld der Ausnutzung sollte also in bestehenden Logs sichtbar sein, wenn man gezielt danach sucht.
DIESEC Einschätzung
Wir sehen bei den Microsoft-Patchdays 2026 immer wieder dasselbe Muster: Die Schlagzeile ist die CVE-Gesamtzahl, aber die zwei oder drei Lücken, die schon vor dem Patch aktiv ausgenutzt wurden, entscheiden tatsächlich, ob es sich um einen Routine-Zyklus oder einen Vorfall handelt. Behandeln Sie die Liste der ausgenutzten Zero-Days als Prioritätsliste, nicht die Gesamt-CVE-Zahl.
Nicht sicher, ob Ihre SharePoint-Farm oder AD-FS-Konfiguration diese Lücke hat? Kontaktieren Sie DIESEC für eine schnelle Expositions-Analyse Ihrer Identity- und Kollaborationsinfrastruktur.
Quellen: BleepingComputer | The Hacker News
Veröffentlicht: 2026-07-16 | Kategorie: Tägliche News | ~4 Min. Lesezeit

