Microsoft schließt beim bislang größten Patchday 570 Sicherheitslücken und erzwingt das Aus für die veraltete Kerberos-RC4-Verschlüsselung.
Microsoft hat an seinem Patchday im Juli 2026 insgesamt 570 Sicherheitslücken in Windows, Office, Exchange Server, SharePoint Server, SQL Server, Azure und Visual Studio geschlossen. Dies stellt das bisher größte Update-Paket in der Geschichte des Unternehmens dar. Unter den behobenen Fehlern befinden sich 59 als kritisch eingestufte Schwachstellen sowie drei Zero-Day-Lücken. Zwei dieser aktiv ausgenutzten Zero-Days betreffen die Active Directory Federation Services (AD FS) unter CVE-2026-56155 sowie den Microsoft SharePoint Server unter CVE-2026-56164.
Sie ermöglichen Angreifern eine Ausweitung von Systemrechten, im Fall von SharePoint auch über das Netzwerk aus der Ferne. Die dritte Zero-Day-Lücke (CVE-2026-50661) ermöglicht das Umgehen der BitLocker-Verschlüsselung, setzt jedoch physischen Zugriff auf das Gerät voraus. Das Sicherheitsunternehmen Zecurit empfiehlt, alle drei Schwachstellen als „unmittelbare Patch-Prioritäten“ zu behandeln. Zudem wurden 145 Fehler behoben, die eine Remotecodeausführung (RCE) in Exchange, SQL Server, Hyper-V und Office ermöglichen.
Zwangsweise Abschaffung der RC4-Verschlüsselung in Kerberos
Neben der hohen Anzahl an Software-Korrekturen markiert das Update den Beginn einer restriktiven Durchsetzungsphase beim Authentifizierungsprotokoll Kerberos. Windows-Domänencontroller akzeptieren ab sofort keine Kerberos-Tickets mehr, die auf der veralteten RC4-Verschlüsselung basieren, sofern keine explizite Ausnahmekonfiguration hinterlegt ist. Unternehmen werden dadurch gezwungen, auf die wesentlich sicherere AES-Verschlüsselung umzustellen. Diese Maßnahme soll Angriffe zur Kompromittierung von Anmeldedaten erschweren, bei denen Angreifer gestohlene Hashes offline mittels Brute-Force-Methoden entschlüsseln. Microsoft weist darauf hin, dass Systeme, die weiterhin auf RC4-basierte Dienstkonten, ältere Applikationen oder inkompatible Nicht-Windows-Systeme setzen, nach der Installation des Updates Fehler bei der Kerberos-Authentifizierung aufweisen können.
Verteilungsstopp für bestimmte Dell-Systeme
Aufgrund von Kompatibilitätsproblemen hat Microsoft die Auslieferung des Sicherheitsupdates für Windows 11 auf bestimmten Geräten des Herstellers Dell vorübergehend gestoppt. Betroffen ist eine begrenzte Anzahl an Systemen mit Intel-Prozessoren. Bei diesen Geräten kann die Installation des Patches zu unerwarteten Systemabstürzen, spürbaren Leistungseinbußen, Überhitzung und einer schnellen Entladung des Akkus führen. Microsoft arbeitet nach eigenen Angaben gemeinsam mit Dell an einer Fehlerbehebung, um das Update für die betroffenen Geräte zeitnah wieder freizugeben.
(red)