55 % aller März-Patches sind Privilege-Escalation-Bugs – was steckt dahinter?
März 2026 | IT-Service Walter | Lesedauer: ca. 4 Minuten
Beim Microsoft Patchday im März 2026 fiel Sicherheitsforschern sofort ein ungewöhnliches Muster auf: Mehr als die Hälfte aller gepatchten Schwachstellen sind Privilege-Escalation-Lücken – also Schwachstellen, mit denen Angreifer ihre Rechte auf einem bereits kompromittierten System ausweiten. Das ist kein Zufall, sondern spiegelt eine klare Strategie moderner Angriffskampagnen wider.
Gesamt: 83 neue CVEs (+ 10 Edge-Fixes = 93 gesamt)
Kritisch: 8 | Wichtig: 75
Privilege Escalation: 46 CVEs = über 55 % aller Patches
Davon 6 als „Exploitation More Likely” eingestuft
Aktiv ausgenutzte Zero-Days: 0
Die 6 gefährlichsten Privilege-Escalation-Lücken im Überblick
Sechs der gepatchten Schwachstellen wurden von Microsoft als besonders zeitkritisch eingestuft – sie gelten als „Exploitation More Likely”, was bedeutet, dass Angreifer voraussichtlich zeitnah funktionsfähige Exploits entwickeln werden.
| CVE | Komponente | CVSS | Ziel |
|---|---|---|---|
| CVE-2026-23668 | Windows Graphics Component | 7.0 | SYSTEM |
| CVE-2026-24289 | Windows Kernel | 7.8 | SYSTEM |
| CVE-2026-24291 | Windows Accessibility Infrastructure | 7.8 | SYSTEM |
| CVE-2026-24294 | Windows SMB Server | 7.8 | SYSTEM |
| CVE-2026-25187 | Winlogon | 7.8 | SYSTEM |
| CVE-2026-26132 | Windows Kernel | 7.8 | Administrator |
Warum ist SYSTEM das ultimative Angriffsziel?
Fast alle dieser Schwachstellen führen zu SYSTEM-Rechten – dem höchsten Privilege-Level unter Windows. Der Unterschied zu Administrator-Rechten ist entscheidend: Ein Prozess mit SYSTEM-Token kann Sicherheitssoftware deaktivieren, Speicher manipulieren und Endpoint-Detection-and-Response-Tools vollständig umgehen – etwas, das einem Administrator häufig verwehrt bleibt.
CVE-2026-25187 wurde von Google Project Zero entdeckt. Ein lokal authentifizierter Angreifer mit normalen Benutzerrechten kann über eine fehlerhafte Link-Auflösung im Winlogon-Prozess SYSTEM-Rechte erlangen – ohne jede Benutzerinteraktion und mit geringer Angriffskomplexität. Der Winlogon-Prozess ist auf nahezu jedem Windows-System aktiv, was die Angriffsfläche enorm macht.
Das typische Angriffsmuster – Post-Compromise-Aktivität
Privilege-Escalation-Bugs werden in aller Regel nicht als erster Angriffspunkt genutzt. Sie kommen ins Spiel, sobald ein Angreifer bereits einen ersten Fuß in die Tür bekommen hat – etwa durch eine Phishing-Mail, eine kompromittierte Webanwendung oder einen schwachen Serviceaccount. Der typische Ablauf sieht so aus:
Initialer Zugriff
Phishing, kompromittierte Zugangsdaten oder ungepatchte externe Dienste verschaffen dem Angreifer eine niedrig-privilegierte Shell.
Privilege Escalation
Über eine der gepatchten Lücken – z. B. CVE-2026-25187 – wird der Benutzerkontext auf SYSTEM erweitert.
Defense Evasion
Mit SYSTEM-Rechten werden Sicherheitslösungen deaktiviert, Logs manipuliert oder EDR-Prozesse beendet.
Lateral Movement & Ziel
Der Angreifer bewegt sich seitwärts durch das Netzwerk, stiehlt Daten oder deployt Ransomware.
SMB als dauerhafter Risikofaktor in Unternehmensnetzen
CVE-2026-24294 im SMB Server verdient besondere Aufmerksamkeit. SMB ist in nahezu jeder Windows-Unternehmensumgebung aktiv – für Dateifreigaben, Druckerfreigaben und Remote-Administration. Eine Privilege-Escalation-Lücke hier bietet Angreifern ideale Bedingungen für laterale Bewegung. Microsoft empfiehlt seit Jahren die Deaktivierung von SMBv1 und die Nutzung von SMB-Signing – beides bleibt auch nach diesem Patch relevant.
Privilege-Escalation-Angriffe hinterlassen charakteristische Spuren im Windows-Event-Log und in der Sysmon-Telemetrie – wenn man weiß, wo man suchen muss. Der ISW Sysmon Analyzer Pro wertet Sysmon-Events strukturiert aus und erkennt verdächtige Prozessaktivitäten, ungewöhnliche Token-Operationen und Injektionsversuche. Der ISW NTLM Audit Analyzer deckt gleichzeitig verdächtige Authentifizierungsmuster auf, die auf Pass-the-Hash- oder Lateral-Movement-Aktivitäten hinweisen.
Sofortmaßnahmen für Administratoren
- ✓März-Kumulativ-Update unverzüglich einspielen – alle 6 kritischen EoP-Lücken sind nur so geschlossen
- ✓Sysmon-Telemetrie aktivieren und auf Token-Manipulation sowie Prozessinjektionen überwachen
- ✓SMBv1 deaktivieren, SMB-Signing erzwingen, SMB-Zugriff per Firewall einschränken
- ✓Least-Privilege-Prinzip konsequent durchsetzen – minimale Rechte verkleinern die Angriffsfläche
- ✓NTLM-Authentifizierungsereignisse auswerten – ungewöhnliche Muster frühzeitig erkennen
Fazit
55 % Privilege-Escalation-Bugs in einem einzigen Patchday sind ein deutliches Signal: Angreifer arbeiten systematisch daran, aus einem niedrig-privilegierten Erstzugriff maximalen Schaden zu machen. Wer den März-Patch aufschiebt, lässt sechs gut dokumentierte Türen offen – für Angreifer, die genau wissen, wie sie diese nutzen.