622 Lücken an einem Tag: Wenn Patch-Management zur Überlebensfrage wird
📖 Lesezeit: ca. 7 Minuten · Juli 2026
Man muss die Zahl zweimal lesen, um sie zu glauben: Der bisherige Rekord lag bei 206 Schwachstellen im Juni 2026 – und der war gerade einmal fünf Wochen alt, als Microsoft im Juli mit über 620 CVEs nachlegte. Die Jahressumme von rund 1.380 Lücken übertrifft damit schon jetzt das bisherige Rekordjahr 2020 mit 1.250.
Für uns Admins ist das kein statistisches Kuriosum, sondern eine unbequeme Wahrheit: Das alte Modell „einmal im Monat drüberbügeln und gut ist” ist tot. Wer im Mittelstand keinen belastbaren Patch-Prozess hat, verliert dieses Rennen – nicht aus Faulheit, sondern aus schierer Masse.
Die nackten Zahlen
Rechnet man Windows, Office, Azure und die eingebetteten Chromium-Fixes zusammen, kommt man auf über 1.000 Korrekturen. Microsoft selbst hat 622 eigene CVEs vergeben, davon 58 als kritisch eingestuft. Zwei Lücken wurden bereits aktiv ausgenutzt. Der nächste turnusmäßige Patchday ist der 11. August 2026.
Die Top-Prioritäten nach Risiko
Bei dieser Masse hilft nur Priorisierung. Diese Lücken gehören ganz nach oben:
| CVE | Komponente | CVSS | Risiko |
|---|---|---|---|
| CVE-2026-57092 | Hyper-V VMSwitch | 9.9 | VM-Ausbruch auf den Host (Use-after-free) |
| CVE-2026-50518 | DHCP-Server | 9.8 | Unauthentifizierte RCE (Heap-Overflow) |
| CVE-2026-56190 | RDP | 9.8 | RCE über präparierten RDP-Verkehr |
| CVE-2026-56188 | Netzwerktreiber (Server) | 9.8 | Wurmartig, Race Condition |
| CVE-2026-56155 | AD FS | 7.8 | Aktiv ausgenutzt (Zero-Day) |
Warum CVSS allein trügt
Der reine Score verführt zu falschen Schlüssen. Entscheidend ist die Rolle des betroffenen Assets: Eine 7.8er-Lücke auf einem Domänencontroller wiegt in der Praxis schwerer als eine 9.8er auf einem isolierten Testserver. Genau deshalb steht der aktiv ausgenutzte AD-FS-Zero-Day trotz „nur” 7.8 ganz oben – während man einen theoretischen 9.8er in einem nicht exponierten Dienst getrost staffeln kann.
ℹ️ Der Lichtblick: Hotpatching wird allgemein verfügbar
Für Windows Server auf Azure ist Hotpatching mit diesem Release allgemein verfügbar – Sicherheitsupdates ohne Reboot. Wer Updates bislang wegen der Downtime hinausgezögert hat, sollte diese Rechnung neu aufmachen.
Ein pragmatischer Workflow für kleine Teams
Bei über 600 CVEs braucht es kein Enterprise-SOC, sondern einen wiederholbaren Dreischritt:
- Erkennen – welche der Lücken betreffen euren konkreten Serverbestand überhaupt?
- Bewerten – nach Asset-Rolle und Exposition priorisieren, nicht nur nach CVSS.
- Staffeln – kritische, exponierte Systeme zuerst; alles andere in klar getakteten Wellen.
✅ Diese Woche zuerst
- Aktiv ausgenutzte Zero-Days (AD FS, SharePoint) sofort schließen.
- Netzexponierte Dienste mit 9.8er-RCEs (DHCP, RDP, Netzwerktreiber) priorisieren.
- Virtualisierungshosts wegen des VMSwitch-Ausbruchs (CVSS 9.9) einplanen.
- Hotpatching für Azure-Server evaluieren, um Downtime zu vermeiden.
- Serverbestand vollständig auf betroffene CVEs scannen – bevor ihr staffelt.
Passendes Werkzeug aus dem ISW-ADTools-Portfolio
CVE Vulnerability Scanner
Bei über 600 Lücken ist Handarbeit keine Option. Der CVE Vulnerability Scanner prüft euren Serverbestand über mehrere Systeme hinweg per CPE-Mapping auf betroffene Schwachstellen – damit ihr in Minuten wisst, wo ihr wirklich zuerst patchen müsst, statt Advisories manuell abzugleichen.
Fazit
Die Lückenzahlen werden nicht kleiner – der Juni-Rekord hielt keine fünf Wochen. Wer heute keinen wiederholbaren, werkzeuggestützten Patch-Prozess hat, sollte ihn zur Chefsache machen. Priorität schlägt Vollständigkeit: Asset-Rolle und Exposition entscheiden, nicht der nackte CVSS.
© 2026 IT-Service Walter · Der Windows Papst · der-windows-papst.de
