Microsoft Patch Tuesday Juli 2026: Zwei Zero-Days in ADFS und SharePoint aktiv ausgenutzt
Microsofts größter Patch Tuesday schließt über 570 Lücken. CVE-2026-56155 in ADFS und CVE-2026-56164 in SharePoint werden aktiv ausgenutzt und sind in den CISA KEV-Catalog aufgenommen. Admins müssen sofort handeln.

Microsoft hat am 14. Juli 2026 seinen bislang größten Patch Tuesday veröffentlicht und schließt 570 bis 622 Sicherheitslücken quer durch sein gesamtes Produktportfolio. Zwei davon wurden bereits vor dem Patchday aktiv ausgenutzt: CVE-2026-56155 in den Active Directory Federation Services und CVE-2026-56164 in SharePoint Server. CISA hat beide am selben Tag in den Known Exploited Vulnerabilities Catalog aufgenommen und fordert Bundesbehörden zur sofortigen Behebung auf.
Was ist passiert?
Am 14. Juli 2026 hat Microsoft im Rahmen des monatlichen Patch Tuesday 570 offiziell gezählte Schwachstellen behoben, einzelne Quellen sprechen von bis zu 622 CVEs je nach Zählmethode. Zwei Zero-Days wurden als aktiv ausgenutzt eingestuft:
- CVE-2026-56155 (CVSS 7.8): Rechteausweitung in den Active Directory Federation Services. Ein Angreifer mit lokalem Zugang kann sich durch unzureichende Zugriffskontrollen zum Administrator hocharbeiten. Microsoft stuft die Lücke als "Wichtig" ein, die aktive Ausnutzung macht sie zur Priorität.
- CVE-2026-56164 (CVSS nicht final veröffentlicht): Rechteausweitung in SharePoint Server. Ebenfalls bereits vor dem Patch aktiv ausgenutzt und von CISA in den KEV-Catalog aufgenommen.
Zusätzlich enthält das Update kritische unauthentifizierte RCE-Lücken in DHCP, RDP und einem Netzwerktreiber (jeweils CVSS 9.8) sowie CVE-2026-57092 (CVSS 9.9) als VMSwitch-Ausbruchslücke. Diese sind nach aktuellem Stand noch nicht aktiv ausgenutzt, das Schadpotenzial ist jedoch maximal.
Wer ist betroffen?
- ADFS (CVE-2026-56155): Alle Windows Server-Umgebungen, die Active Directory Federation Services betreiben. Besonders betroffen sind Unternehmen mit Hybrid-Setups zu Microsoft 365 oder Azure.
- SharePoint Server (CVE-2026-56164): On-Premises SharePoint-Installationen. SharePoint Online (Microsoft 365) ist nicht betroffen.
- DHCP, RDP, Netzwerktreiber, VMSwitch: Nahezu alle Windows Server-Versionen, Hyper-V-Hosts und Systeme mit aktiviertem RDP.
- Nicht betroffen: Reine Azure-Managed-Services, bei denen Microsoft die Infrastruktur direkt patcht. SharePoint Online.
Wie kritisch ist das?
Die beiden Zero-Days CVE-2026-56155 und CVE-2026-56164 erfordern sofortiges Handeln, weil die aktive Ausnutzung vor der Veröffentlichung des Patches bestätigt ist. Bei ADFS bedeutet das: Angreifer, die bereits lokalen Zugang haben, können sich Administrator-Rechte verschaffen und von dort das gesamte Verzeichnisdienst-Verbund übernehmen. Bei SharePoint ist ein ähnliches Eskalationsszenario bestätigt.
Die RCE-Lücken in DHCP und RDP mit CVSS 9.8 sind zwar nach aktuellem Stand noch nicht ausgenutzt, aber Proof-of-Concept-Exploits für vergleichbare Lücken dieser Klasse erscheinen erfahrungsgemäß innerhalb weniger Tage nach dem Patchday.
Was sollten Admins jetzt tun?
- Sofort prüfen, ob ADFS im Einsatz ist und auf welchem Windows-Server-Stand er läuft.
- SharePoint-Server-Versionen inventarisieren und Patchstand gegen Microsofts Security Update Guide vergleichen.
- Juli-2026-Updates über Windows Server Update Services, Microsoft Update Catalog oder direkt über Windows Update einspielen.
- Hochrisiko-Systeme zuerst: ADFS-Server, SharePoint-Server, Hyper-V-Hosts, RDP-exponierte Maschinen.
- Nach dem Patch ADFS-Eventlogs auf ungewöhnliche Rechteausweitungen vor dem 14. Juli prüfen, um Kompromittierungen zu erkennen, die bereits vor dem Patch stattgefunden haben könnten.
- RDP wo möglich hinter VPN oder Network Policy Server schützen und nicht direkt ins Internet exponieren.
Einordnung für Unternehmen
Ein Patchday dieser Größenordnung ist eine operative Herausforderung für kleine IT-Teams. Die wichtigste Priorisierungsregel: CVEs im CISA KEV-Catalog zuerst, danach CVSS 9.0+ mit RCE-Klasse. Alles andere folgt im regulären Wartungsfenster. Unternehmen ohne strukturierten Patch-Prozess sollten diesen Patchday zum Anlass nehmen, einen zu etablieren.
Passende Artikel auf S-EDV
- Microsoft Security Updates: Warum der monatliche Patch-Prozess sauber sein muss – Hintergrund zur Patch-Priorisierung und zu sinnvollen Wartungsfenstern.
- CISA KEV: Warum der Known Exploited Vulnerabilities Catalog für Admins Pflicht ist – Wie der KEV-Catalog funktioniert und warum er die beste Patch-Priorisierungshilfe ist.
- SharePoint CVE-2026-45659: CISA KEV RCE Juli 2026 – Vorherige SharePoint-Lücke aus diesem Monat als Vergleichsfall.