DeepDive Patchday Mai 2026: Priorisierung für Domänencontroller, DNS, Office, Hyper‑V und Exchange

Warum dieser DeepDive mehr ist als eine Patchliste

Patchday-Übersichten gibt es viele – meistens mit CVE-Nummern, CVSS-Werten und einer langen Liste betroffener Produkte. Für den praktischen Betrieb reicht das aber selten aus. Entscheidend ist nicht nur, dass Microsoft eine Schwachstelle geschlossen hat, sondern wo sie in der eigenen Umgebung relevant wird, wie realistisch ein Angriff ist und welche Systeme zuerst abgesichert werden sollten. Genau hier setzt dieser DeepDive an: Die Mai-Updates 2026 werden nicht nur aufgelistet, sondern technisch eingeordnet – mit Blick auf Domänencontroller, DNS, Office-Dateien, Hyper‑V, SharePoint, Dynamics, Exchange und typische Unternehmensszenarien. Ziel ist eine belastbare Grundlage für die tägliche Patchmanagement-Entscheidung: Was muss sofort passieren, was kann kontrolliert in den nächsten Rollout-Ring, und wo sind zusätzliche Prüfungen oder Härtungsmaßnahmen sinnvoll?

1. Überblick

Microsoft hat im Mai 2026 eine sehr umfangreiche Sicherheitsrunde veröffentlicht. Die Zählung variiert je nach Quelle und Scope: Qualys und Security-Insider nennen 137 Schwachstellen, davon 30 kritisch; CrowdStrike zählt 130 Schwachstellen mit ebenfalls 30 kritischen Einträgen; Tenable kommt in seiner Patchday-Zählung auf 118 CVEs. Für das Patchmanagement ist diese Abweichung weniger entscheidend als die klare Trennung zwischen kundenaktionspflichtigen Updates und cloudseitig bereits behobenen Diensten. (threatprotect.qualys.com)

Zum Zeitpunkt der regulären Patchday-Veröffentlichung wurden für die Mai-Updates keine aktiv ausgenutzten oder öffentlich bekannten Zero-Day-Schwachstellen gemeldet. Diese Einordnung darf jedoch nicht zu einer niedrigen Priorisierung führen: Mehrere kritische Schwachstellen betreffen Komponenten mit hoher Unternehmensrelevanz, darunter Windows Netlogon, Windows DNS Client, Microsoft Word/Office, Hyper‑V, SharePoint Server, Dynamics 365 On-Premises und ein Microsoft SSO Plugin für Jira und Confluence. (threatprotect.qualys.com)

Ein zusätzlicher Nachtrag erhöht die Dringlichkeit für Exchange-Betreiber: Microsoft hat Mitte Mai 2026 CVE-2026-42897 für Exchange Server/Outlook Web Access offengelegt. CISA hat die Schwachstelle am 15. Mai 2026 in den Known Exploited Vulnerabilities Catalog aufgenommen, da aktive Ausnutzung beobachtet wurde. Diese Schwachstelle gehört nicht zur ursprünglichen Gruppe der 30 kritischen Patchday-CVEs, ist aber für On-Premises-Exchange-Umgebungen unmittelbar relevant. (TECHCOMMUNITY.MICROSOFT.COM)

Operative Kernaussage:

Die höchste Priorität liegt im Mai 2026 auf Systemen, die Identität, Authentifizierung, zentrale Namensauflösung, Office-Dateiverarbeitung, Virtualisierung oder öffentlich erreichbare Kollaborationsdienste bereitstellen. Für typische Unternehmensumgebungen bedeutet das: Domänencontroller, DNS-relevante Server und Clients, Hyper‑V-Hosts, SharePoint-/Dynamics-Systeme, Exchange-OWA-Server sowie Office-Clients müssen gezielt und nachvollziehbar priorisiert werden.

2. Kritische Schwachstellen im Fokus

Die folgende Tabelle fasst die 30 kritischen Schwachstellen zusammen, die in den ausgewerteten Patchday-Analysen für Mai 2026 aufgeführt werden. Bei cloudseitig behobenen Schwachstellen ist nach aktueller Quellenlage kein klassisches Patch-Rollout auf Kundenseite erforderlich; dennoch sind Protokolle, Zugriffsrechte, Service Health und betroffene Workloads zu prüfen. Die Exploit-Einschätzung basiert auf den zum Recherchezeitpunkt verfügbaren Informationen von Microsoft-nahen Patchday-Analysen und MSRC-/CVE-Daten. (crowdstrike.com)

Besonderer Nachtrag: Exchange CVE-2026-42897

Für Exchange Server wurde nach dem regulären Patchday CVE-2026-42897 veröffentlicht. Die Schwachstelle betrifft eine Cross-Site-Scripting-/Spoofing-Problematik in Exchange/OWA. Laut NVD bewertet Microsoft die Schwachstelle mit CVSS 8.1, Angriffsvektor Netzwerk, niedrige Komplexität, keine Privilegien erforderlich, aber Benutzerinteraktion erforderlich. CISA führt CVE-2026-42897 seit dem 15. Mai 2026 als aktiv ausgenutzt und nennt als Maßnahme die Anwendung der Herstelleranweisungen beziehungsweise Mitigations. (GovDelivery)

3. Betroffene Systeme & Updates

Die folgende Übersicht konzentriert sich auf Windows-Client- und Server-Updates, die für typische Unternehmensumgebungen relevant sind. Zusätzlich sind bekannte Probleme und betriebliche Hinweise aufgeführt.

Bekannte Stolperstellen im Mai 2026

Windows 11 KB5089549 und Fehler 0x800f0922
Für Windows 11 24H2/25H2 dokumentiert Microsoft einen Installationsfehler, wenn auf der EFI-Systempartition sehr wenig freier Speicher vorhanden ist. Typisch ist ein Abbruch im Bereich von 35–36 Prozent mit Rollback. Für größere Rollouts sollte vorab geprüft werden, ob Geräte mit kleiner oder nahezu voller EFI-Systempartition vorhanden sind. Microsoft nennt als Workaround unter anderem eine Registry-basierte Reduzierung des ESP-Paddings beziehungsweise Known-Issue-Rollback-/Gruppenrichtlinienoptionen. (Microsoft Support)

Secure-Boot-Zertifikate ab Juni 2026
Mehrere Microsoft-Supportseiten weisen darauf hin, dass Secure-Boot-Zertifikate ab Juni 2026 auslaufen und entsprechende CA-Updates relevant werden. Das ist besonders wichtig für BitLocker-geschützte Systeme, automatisierte Bare-Metal-Provisionierung, ältere Images und Server mit restriktivem Boot-Management. (Microsoft Support)

Windows Server 23H2: Support-Ende im Mai-Update sichtbar
Für Windows Server Version 23H2 ist das Mai-Update 2026 laut Microsoft das letzte Sicherheits- und Qualitätsupdate. Systeme auf dieser Version sollten nicht nur gepatcht, sondern in eine Migrationsplanung aufgenommen werden. (Microsoft Support)

4. Technische Analyse & Exploit-Szenarien

4.1 Domänencontroller: Netlogon als prioritäre Infrastrukturkomponente

CVE-2026-41089 betrifft Windows Netlogon und ermöglicht laut Microsoft potenziell Codeausführung auf Domänencontrollern durch speziell präparierte Netzwerkpakete, ohne vorherige Anmeldung oder vorhandene Berechtigungen. Auch wenn Microsoft die Ausnutzung als „Less Likely“ einstuft und keine aktive Ausnutzung bestätigt, ist die Auswirkung auf Active Directory besonders schwerwiegend. (api.msrc.microsoft.com)

Für Unternehmensumgebungen ergibt sich daraus folgende Priorität:

• Domänencontroller in allen Standorten zeitnah patchen.
• Patching ringweise durchführen, aber nicht über mehrere Wochen strecken.
• Vorher System-State-Backups und Replikationszustand prüfen.
• Nachher Authentifizierung, Replikation, GPO-Verarbeitung, Kerberos/NTLM-Anmeldungen und LSASS-Verhalten kontrollieren.
• Netzwerkzugriffe auf Domänencontroller auf notwendige Subnetze und Managementsysteme begrenzen.

Ein erfolgreiches Ausnutzen einer Netlogon-RCE hätte potenziell Auswirkungen auf Identität, Gruppenrichtlinien, Kerberos, laterale Bewegung und privilegierte Administration. Daher ist diese Schwachstelle auch ohne Zero-Day-Status als geschäftskritisch einzustufen.

4.2 DNS Client: Manipulierte Namensauflösung als Einfallstor

CVE-2026-41096 betrifft den Windows DNS Client und wird mit CVSS 9.8 bewertet. Laut Patchday-Analyse ist eine präparierte DNS-Antwort erforderlich, was Angriffe über manipulierte DNS-Pfade, kompromittierte Netzsegmente, Rogue DNS, unsichere WLANs oder Man-in-the-Middle-Positionen begünstigen kann. (crowdstrike.com)

Relevante Szenarien:

• Clients in Außenstellen oder Heimarbeitsumgebungen mit unsicheren lokalen Netzen.
• Server, die DNS-Antworten über nicht ausreichend kontrollierte Resolver beziehen.
• VPN-Clients mit Split-Tunneling oder abweichender DNS-Policy.
• Systeme in Migrations- oder Testnetzen mit improvisierter DNS-Konfiguration.

Neben dem Patchen sind DNS-Hardening, Netzwerksegmentierung, DHCP-Schutzmechanismen und die Kontrolle von Resolver-Konfigurationen sinnvoll.

4.3 Microsoft SSO Plugin für Jira und Confluence: Authentifizierungsgrenze prüfen

CVE-2026-41103 betrifft das Microsoft SSO Plugin für Jira und Confluence. Die Schwachstelle wird als Authentifizierungsumgehung beziehungsweise Elevation of Privilege beschrieben und von Tenable als „Exploitation More Likely“ bewertet. Für Unternehmen mit Atlassian-Systemen und Microsoft-Entra-ID-Anbindung ist dies eine prioritäre Applikationsschwachstelle. (Tenable®)

Besonders kritisch sind Umgebungen, in denen Jira oder Confluence für Entwicklungsdokumentation, Tickets mit Kundendaten, Betriebsdokumentation, Change-Management oder Incident-Prozesse genutzt werden. Zu prüfen sind:

• Version und Patchstand des SSO Plugins.
• SAML-/OIDC-Konfigurationen und Zertifikate.
• Administrative Konten in Jira/Confluence.
• Ungewöhnliche Logins, Rollenänderungen und API-Zugriffe.
• Externe Erreichbarkeit der Atlassian-Systeme.

4.4 Office und Word: Preview Pane bleibt ein praktischer Angriffsvektor

Mehrere kritische Word- und Office-Schwachstellen im Mai 2026 lassen sich über präparierte Dateien ausnutzen; Microsoft beziehungsweise die ausgewerteten Patchday-Analysen nennen den Preview Pane als Angriffsvektor für mehrere Einträge. Für CVE-2026-40361 und CVE-2026-40364 wird die Ausnutzung als „More Likely“ eingestuft. (crowdstrike.com)

Das Problem ist im Alltag besonders relevant, weil sich Office-Angriffe häufig nicht auf Makros verlassen müssen. Bereits Dateivorschau, eingebettete Objekte, Dateiparsing oder fehlerhafte Speicherverarbeitung können Angriffsflächen schaffen.

Empfohlene technische Gegenmaßnahmen neben dem Patch:

• Office-/Microsoft-365-Apps priorisiert aktualisieren.
• Protected View und Mark-of-the-Web nicht deaktivieren.
• Attack Surface Reduction Rules für Office-Kindprozesse und ausführbare Inhalte aus E-Mail/Web aktivieren.
• Preview Pane in besonders exponierten Gruppen temporär deaktivieren, wenn das Office-Update nicht zeitnah verteilt werden kann.
• E-Mail-Sandboxing und Attachment-Blocklisten für riskante Dateitypen prüfen.
• Terminalserver und gemeinsam genutzte Office-Systeme gesondert priorisieren.

4.5 Hyper‑V: Gast-zu-Host-Risiken in Clusterumgebungen

Die Hyper‑V-relevanten Schwachstellen CVE-2026-40402 und CVE-2026-40403 sind für virtualisierte Umgebungen besonders wichtig. Der kritische Punkt liegt in der Sicherheitsgrenze zwischen Gast-VM und Host. In klassischen Unternehmensumgebungen ist diese Grenze häufig vertrauensbasiert, aber nicht risikofrei: kompromittierte Test-VMs, Legacy-Systeme, Dienstleister-VMs oder stark exponierte Applikationsserver können als Ausgangspunkt dienen. (crowdstrike.com)

Für Hyper‑V-Cluster empfiehlt sich ein kontrolliertes Vorgehen:

1. Clusterzustand, Live-Migration und Storage prüfen.
2. Host nacheinander drainen.
3. VMs migrieren oder gezielt herunterfahren.
4. Host patchen und neu starten.
5. Cluster- und VM-Health prüfen.
6. Erst danach den nächsten Node aktualisieren.

Snapshots einzelner VMs ersetzen dabei keine Host-Backups und keine Wiederanlaufplanung für Clusterrollen.

4.6 SharePoint und Dynamics 365 On-Premises: Authentifizierte Angriffe ernst nehmen

CVE-2026-40365 betrifft SharePoint Server und erlaubt einem authentifizierten Site Owner potenziell Codeausführung auf dem SharePoint Server. CVE-2026-42898 betrifft Dynamics 365 On-Premises und wird mit CVSS 9.9 bewertet. Beide Schwachstellen setzen nach aktueller Beschreibung nicht zwingend einen anonymen Internetangriff voraus, sind aber gerade wegen vorhandener Benutzer- und Rollenstrukturen relevant. (crowdstrike.com)

In der Praxis sind authentifizierte Angriffe nicht weniger relevant: kompromittierte Benutzerkonten, zu großzügig vergebene Site-Owner-Rechte, Dienstleisterzugänge oder schwache Segmentierung können ausreichen, um aus einer fachlichen Berechtigung eine technische Kompromittierung zu entwickeln.

Zu prüfen sind:

• SharePoint-Farm-Versionen, CU-/Security-Update-Stand und Timer Jobs.
• Site Owner und Farm Administratoren.
• Webserver-/IIS-Logs, ULS-Logs und ungewöhnliche Uploads.
• Dynamics-Rollen, Plug-ins, Workflows, Integrationen und Servicekonten.
• Datenbank- und Applikationsserver-Backups vor Updateinstallation.

4.7 Exchange OWA: Nachträgliche aktive Ausnutzung von CVE-2026-42897

CVE-2026-42897 betrifft Exchange Server beziehungsweise Outlook Web Access. Die Schwachstelle kann laut CVE-Beschreibung durch nicht ausreichend neutralisierte Eingaben bei der Webseitengenerierung zu Spoofing beziehungsweise Cross-Site-Scripting führen. CISA führt die Schwachstelle als aktiv ausgenutzt. (GovDelivery)

Für On-Premises-Exchange-Umgebungen ist damit eine gesonderte Sofortprüfung erforderlich:

• Exchange Emergency Mitigation Service aktivieren und Status prüfen.
• Microsoft Exchange Health Checker ausführen.
• OWA-Veröffentlichung, Reverse Proxy und WAF-Regeln kontrollieren.
• IIS-Logs, OWA-Zugriffe und verdächtige Mailobjekte prüfen.
• Besonders privilegierte Postfächer und Administratorzugriffe überwachen.
• Herstelleranweisungen und CISA-Fristen berücksichtigen.

Zum Recherchezeitpunkt ist in den ausgewerteten Quellen vor allem die Anwendung der von Microsoft bereitgestellten Mitigation beziehungsweise Herstelleranweisung belegt. Falls Microsoft nach Veröffentlichung dieses Beitrags ein finales Sicherheitsupdate bereitstellt, ist dieses zusätzlich zur Mitigation einzuplanen.

5. Empfohlene Maßnahmen & Checkliste

5.1 Vorbereitende Bestandsaufnahme

Vor dem Rollout sollte eine saubere Zuordnung der betroffenen Rollen und Produkte erfolgen:

• Windows-Client-Versionen: Windows 11 24H2/25H2, Windows 10 ESU-/LTSC-Bestände.
• Windows-Server-Versionen: Server 2025, 2022, 23H2, 2019, 2016.
• Domänencontroller und DNS-relevante Systeme.
• Hyper‑V-Hosts und Cluster-Nodes.
• SharePoint-Server und Dynamics-365-On-Premises-Systeme.
• Exchange Server mit OWA-Veröffentlichung.
• Office-/Microsoft-365-Apps-Kanäle inklusive LTSC und Mac.
• Jira-/Confluence-Systeme mit Microsoft SSO Plugin.
• Cloud-Dienste mit betroffenen Workloads: Azure DevOps, Azure Monitor, Azure Machine Learning, Azure AI Foundry, Microsoft 365 Copilot, Partner Center.

5.2 Backup und Rollback

Für den Mai-Patchday ist ein differenziertes Backup-Konzept erforderlich:

Snapshots können als ergänzende Maßnahme dienen, ersetzen aber keine geprüften Backups. Besonders bei Domänencontrollern, Exchange und SharePoint sind applikationskonsistente Sicherungen entscheidend.

5.3 Priorisierte Deployment-Reihenfolge

Eine praxistaugliche Reihenfolge für Unternehmensumgebungen:

Stufe 1: Sofortprüfung und Sonderfall Exchange

On-Premises-Exchange-Server mit OWA-Veröffentlichung auf CVE-2026-42897 prüfen, Mitigation anwenden und Protokolle kontrollieren. Aufgrund der CISA-KEV-Aufnahme hat dieser Punkt unabhängig vom regulären Patchring höchste Dringlichkeit. (GovDelivery)

Stufe 2: Identität und Authentifizierung

Domänencontroller wegen CVE-2026-41089, Jira-/Confluence-SSO-Plugins wegen CVE-2026-41103 und Entra-/Cloud-relevante Identitätsereignisse priorisieren.

Stufe 3: Zentrale Serverrollen

DNS-relevante Systeme, SharePoint, Dynamics 365 On-Premises und öffentlich erreichbare Applikationsserver aktualisieren.

Stufe 4: Virtualisierung

Hyper‑V-Cluster kontrolliert über Drain, Live-Migration und Cluster-Aware Updating patchen.

Stufe 5: Office- und Client-Flächen

Office-/Word-Updates breit ausrollen, insbesondere für Benutzergruppen mit hohem E-Mail- und Dokumentenaufkommen. Terminalserver und gemeinsam genutzte Office-Hosts gesondert priorisieren.

Stufe 6: Standardserver und Restflächen

Nicht exponierte Member Server, Verwaltungsserver, Spezialclients und Nachzügler aktualisieren. Compliance-Berichte nachziehen.

5.4 Monitoring und Nachkontrolle

Nach der Installation sind folgende Prüfungen sinnvoll:

• Patchstand über Intune, WSUS, Configuration Manager oder RMM-Systeme verifizieren.
• Windows-Builds stichprobenartig mit winver, Get-HotFix oder zentraler Inventarisierung prüfen.
• Für Windows 11 KB5089549 gezielt nach Installationsfehlern 0x800f0922 suchen und Geräte mit EFI-/ESP-Problemen identifizieren. (Microsoft Support)
• Domänencontroller auf Replikationsprobleme, LSASS-Auffälligkeiten, Netlogon-Fehler und Authentifizierungsprobleme prüfen.
• Hyper‑V-Hosts auf Clusterzustand, Live-Migration, VM-Startfehler und Integrationsdienste prüfen.
• SharePoint auf Timer Jobs, Suchdienst, ULS-Fehler, Webanwendungen und Berechtigungsänderungen kontrollieren.
• Exchange auf OWA-Zugriffe, IIS-Anomalien, Health-Checker-Befunde und Emergency-Mitigation-Status prüfen.
• Office-Clients auf Updatekanal, Buildstand und Protected-View-/ASR-Richtlinien prüfen.
• Cloud-Dienste auf Service-Health-Meldungen, Audit Logs, ungewöhnliche Tokens, App-Registrierungen und Rollenänderungen kontrollieren.

5.5 Zusätzliche Hardening-Maßnahmen

Der Patchday sollte nicht isoliert betrachtet werden. Besonders im Mai 2026 ergeben sich mehrere sinnvolle Härtungsmaßnahmen:

• Administrative Zugriffe auf Domänencontroller und Serverrollen auf dedizierte Managementnetze begrenzen.
• DNS-Resolver-Konfigurationen standardisieren und Rogue-DNS-Risiken reduzieren.
• SMB/RPC- und Managementzugriffe zwischen Clientnetzen und Servernetzen minimieren.
• Office-Angriffsflächen über ASR-Regeln, Protected View, Makrorestriktionen und Attachment-Kontrollen reduzieren.
• Site-Owner- und Farm-Admin-Rechte in SharePoint regelmäßig überprüfen.
• Jira-/Confluence-SSO-Konfigurationen auf Zertifikate, Redirect-URIs, Rollen und privilegierte Gruppen prüfen.
• Hyper‑V-Hosts strikt von weniger vertrauenswürdigen Workloads trennen.
• Exchange OWA nur über gehärtete Veröffentlichungswege, MFA-fähige Zugriffsmodelle und Protokollüberwachung betreiben.
• Secure-Boot- und BitLocker-Prozesse im Hinblick auf die Zertifikatsumstellung ab Juni 2026 vorbereiten.

6. Fazit & Handlungsempfehlung

Der Mai-Patchday 2026 ist vor allem wegen seiner Breite und der betroffenen Kernkomponenten relevant. Auch ohne bestätigten Zero-Day in der regulären Patchday-Veröffentlichung sind mehrere Schwachstellen für Unternehmensumgebungen kritisch: Netlogon auf Domänencontrollern, DNS Client, Office/Word mit Preview-Pane-Angriffsvektoren, Hyper‑V, SharePoint, Dynamics 365 On-Premises und das Microsoft SSO Plugin für Jira und Confluence.

Die empfohlene Priorisierung lautet:

1. Exchange OWA wegen CVE-2026-42897 sofort prüfen und mitigieren, sofern On-Premises-Exchange betrieben wird.
2. Identitäts- und Authentifizierungssysteme priorisieren: Domänencontroller, SSO-Plugins, privilegierte Cloud-Workloads.
3. Office-/Word-Clients breit und schnell aktualisieren, da dokumentenbasierte Angriffe im Tagesgeschäft realistisch sind.
4. Hyper‑V-Hosts und zentrale Serverrollen kontrolliert patchen, insbesondere in Clusterumgebungen.
5. SharePoint und Dynamics 365 On-Premises gezielt absichern, da authentifizierte Angriffe in kompromittierten Benutzerkontexten realistisch sind.
6. Windows 11 Rollout auf Fehler 0x800f0922 vorbereiten, um großflächige Installationsabbrüche durch EFI-/ESP-Probleme zu vermeiden.
7. Secure-Boot-Zertifikatswechsel ab Juni 2026 in die Betriebsplanung aufnehmen, damit spätere Boot- oder BitLocker-Probleme vermieden werden.

Die technische Lösung besteht damit nicht nur in der Installation einzelner Updates, sondern in einem risikobasierten Patch- und Kontrollprozess: zuerst Systeme mit Identitäts-, Netzwerk-, Kollaborations- und Virtualisierungsfunktion, danach breite Client- und Standardserverflächen, flankiert durch Monitoring, Backup-Nachweise und gezielte Härtung.

7. Quellen

• Microsoft Security Response Center / Security Update Guide und Microsoft-Hinweise zum Patch-Tuesday-Prozess. (Microsoft)
• Microsoft Support: Windows 11 KB5089549, Windows Server 2025 KB5087539, Windows Server 2022 KB5087545, Windows Server 23H2 KB5087541, Windows Server 2019 KB5087538, Windows Server 2016 KB5087537. (Microsoft Support)
• Microsoft Support: bekannte Probleme zu Windows 11 KB5089549, insbesondere Installationsfehler 0x800f0922 bei zu wenig freiem Speicher auf der EFI-Systempartition. (Microsoft Support)
• Qualys Patch Tuesday Mai 2026, Security-Insider Patchday-Bericht, CrowdStrike Patch Tuesday Analyse, Tenable Patch Tuesday Analyse. (threatprotect.qualys.com)
• Microsoft Exchange Team Blog, CISA Known Exploited Vulnerabilities Catalog und NVD-Eintrag zu CVE-2026-42897. (TECHCOMMUNITY.MICROSOFT.COM)