Schon ausgenutzt, bevor der Patch kam: Der AD-FS-Zero-Day und eure Hybrid-Identität

IDENTITY & ZERO-DAY

Schon ausgenutzt, bevor der Patch kam: Der AD-FS-Zero-Day und eure Hybrid-Identität

📖 Lesezeit: ca. 6 Minuten  ·  Juli 2026

Es gibt Sicherheitslücken, über die man in Ruhe theoretisieren kann – und es gibt solche, bei denen die Angreifer schon im Haus waren, bevor Microsoft überhaupt das Türschloss austauschen konnte. CVE-2026-56155 gehört zur zweiten Sorte: eine Rechteausweitung in den Active Directory Federation Services (AD FS), die aktiv ausgenutzt wurde, bevor der Juli-Patch bereitstand.

Aufgeflogen ist sie ausgerechnet durch Microsofts eigenes Detection-and-Response-Team (DART) im Rahmen laufender Angriffe. Das Perfide daran: AD FS sichert das Anmeldevertrauen zwischen eurem lokalen Verzeichnis und Entra ID ab – wer hier Fuß fasst, dringt tief in die Identitätsinfrastruktur vor.

⚠️ Aktiv ausgenutzter Zero-Day

Diese Lücke wird bereits in freier Wildbahn angegriffen. Wenn ihr AD FS produktiv betreibt, hat der Juli-Patch für euch oberste Priorität – vor nahezu allem anderen aus diesem Patchday.

Anatomie des Angriffs

CVE-2026-56155 ist eine Elevation-of-Privilege-Schwachstelle mit einem CVSS-Score von 7.8. Ursache ist eine unzureichend granulare Zugriffskontrolle: Ein lokal angemeldeter Angreifer mit geringen Rechten kann darüber auf Administratorrechte springen. Die Zugangshürde ist also niedrig – und genau das macht die Lücke im Zusammenspiel mit einem erbeuteten Standardkonto so gefährlich.

Warum AD FS ein besonders fettes Ziel ist

AD FS ist die Brücke zwischen eurer On-Premises-Welt und Entra ID. Über diese Verbunddienste läuft das Vertrauen, mit dem sich Nutzer an Microsoft 365, an SaaS-Plattformen und an interne Anwendungen anmelden. Wer die Kontrolle über einen AD-FS-Server erlangt, sitzt damit an einem Knotenpunkt, über den er sich lateral durch die gesamte Identitätslandschaft bewegen kann.

ℹ️ Zweiter aktiv ausgenutzter Zero-Day am selben Tag

Parallel zu AD FS wurde mit CVE-2026-56164 (CVSS 5.3) auch eine Rechteausweitung im SharePoint Server gepatcht, die ebenfalls bereits angegriffen wurde – über das Netzwerk und ohne Benutzeranmeldung. Wer SharePoint betreibt, sollte diese Lücke direkt mit auf die Prioritätenliste setzen.

Sofort patchen – und dann?

Der Patch allein ist die Pflicht. Die Kür ist, die Angriffsfläche dauerhaft zu verkleinern. Prüft insbesondere, welche Federation-Endpunkte aus dem Internet erreichbar sind, und ob diese Erreichbarkeit wirklich nötig ist.

Die strategische Frage: Braucht ihr AD FS 2026 überhaupt noch?

Jeder AD-FS-Zero-Day ist auch eine Erinnerung daran, dass diese Komponente technologisch in die Jahre gekommen ist. Für viele Organisationen ist der eigentliche „Fix” nicht der nächste Patch, sondern die Migration der Authentifizierung direkt zu Entra ID. Wer ohnehin hybrid unterwegs ist, sollte die Ablösung von AD FS auf die Roadmap heben – jeder Server, den ihr nicht mehr betreibt, ist eine Angriffsfläche weniger.

✅ Handlungsempfehlungen

  • Juli-2026-Update auf allen AD-FS-Servern mit höchster Priorität einspielen.
  • Internet-erreichbare Federation-Endpunkte identifizieren und Erreichbarkeit hinterfragen.
  • Anmeldevorgänge auf Auffälligkeiten prüfen – ungewöhnliche Rechteausweitungen und Token-Anfragen.
  • Parallel CVE-2026-56164 in SharePoint patchen.
  • Mittelfristig: Ablösung von AD FS zugunsten von Entra ID prüfen.

Passende Werkzeuge aus dem ISW-ADTools-Portfolio

Kerberos Audit Analyzer & NTLM Audit Analyzer

Identitätsangriffe hinterlassen Spuren im Authentifizierungsverkehr. Der Kerberos Audit Analyzer und der NTLM Audit Analyzer helfen euch, Schwachstellen in euren Anmeldeprotokollen aufzuspüren und Auffälligkeiten früh zu erkennen – als flankierende Kontrolle rund um eure Verzeichnisdienste. Für die Gesundheit des AD selbst liefert ADVital den schnellen Überblick.

Zu den ISW-ADTools →

Fazit

Zero-Day heißt: Die Uhr läuft schon, während ihr das lest. Patcht AD FS sofort, verkleinert die Angriffsfläche eurer Federation-Endpunkte – und nutzt den Vorfall als Argument, die längst überfällige Migration zu Entra ID anzugehen.

© 2026 IT-Service Walter · Der Windows Papst · der-windows-papst.de