Patch Tuesday März 2026: 84 Fixes und die erste kritische Schwachstelle, die eine KI fand

3 Min. Lesezeit

Microsofts Patch Tuesday im März 2026 schließt 84 Schwachstellen, darunter 3 kritische und 2 Zero-Days. Aber die eigentliche Nachricht steckt in CVE-2026-21536: eine kritische Remote-Code-Execution mit CVSS 9.8, die nicht von einem Sicherheitsforscher gefunden wurde, sondern von XBOW, einem vollautomatischen KI-Penetrationstest-Agenten. Das ist die erste öffentlich dokumentierte kritische Schwachstelle, die eine KI in Enterprise-Software entdeckt hat.

Das Wichtigste in Kürze

🔧 84 Schwachstellen gepatcht, davon 3 kritisch und 2 Zero-Days (CVE-2026-21262 SQL Server EoP, CVE-2026-26127 .NET DoS).
🤖 CVE-2026-21536 (CVSS 9.8): Remote-Code-Execution in Microsoft Devices Pricing Program, gefunden von XBOW, einem KI-Pentesting-Agenten.
⚠️ Office-Schwachstellen via Preview Pane: CVE-2026-26110 und CVE-2026-26113 erlauben RCE allein durch Dateivorschau in Outlook.
📊 2 Zero-Days waren vor dem Patch öffentlich bekannt. Angriffe in freier Wildbahn bestätigt.
🔒 Patch-Empfehlung: Sofort für alle Internet-exponierten Systeme, innerhalb von 72 Stunden für interne Systeme.

Die kritischen Schwachstellen im Detail

Microsoft hat am 11. März 2026 den monatlichen Patch Tuesday veröffentlicht. 84 Schwachstellen wurden geschlossen, darunter 3 als kritisch eingestuft und 2 Zero-Days, die bereits vor dem Patch öffentlich bekannt waren und aktiv ausgenutzt wurden.

Die zwei Zero-Days: CVE-2026-21262 ist eine Privilege-Escalation im SQL Server mit einem CVSS-Score von 8.8. Ein authentifizierter Angreifer kann über manipulierte SQL-Queries Systemrechte erlangen. CVE-2026-26127 ist eine Denial-of-Service-Schwachstelle in .NET, die durch speziell konstruierte Requests ausgelöst werden kann.

Für Unternehmen mit öffentlich erreichbaren APIs und Webservices auf .NET-Basis ist CVE-2026-26127 besonders relevant: Ein DoS-Angriff erfordert keine Authentifizierung und kann Dienste komplett lahmlegen.

Schwachstellen gepatcht

CVSS 9.8

KI-gefundene RCE (CVE-2026-21536)

Zero-Days (aktiv ausgenutzt)

Quelle: Microsoft Security Response Center, BleepingComputer, Krebs on Security (März 2026)

Die KI-gefundene Schwachstelle: Was CVE-2026-21536 bedeutet

CVE-2026-21536 ist eine Remote-Code-Execution im Microsoft Devices Pricing Program mit einem CVSS-Score von 9.8, der höchsten Einstufung unterhalb von 10.0. Was die Schwachstelle besonders macht: Sie wurde nicht von einem menschlichen Sicherheitsforscher entdeckt, sondern von XBOW, einem vollautomatischen KI-Penetrationstest-Agenten.

XBOW analysiert Softwareoberflächen autonom, generiert Test-Payloads und identifiziert Schwachstellen ohne menschliche Anleitung. Die Entdeckung von CVE-2026-21536 ist die erste öffentlich dokumentierte kritische Schwachstelle in Enterprise-Software, die eine KI eigenständig gefunden hat.

Für Security-Teams hat das zwei Implikationen. Erstens: KI-gestütztes Pentesting wird zur ernstzunehmenden Disziplin. Wenn ein KI-Agent eine CVSS-9.8-Schwachstelle findet, die menschliche Tester übersehen haben, verändert das die Risikoberechnung. Zweitens: Die gleiche Technologie steht auch Angreifern zur Verfügung. Offensive KI-Agenten werden Schwachstellen schneller finden als Patch-Zyklen sie schließen können.

Die Entdeckung einer kritischen Schwachstelle durch einen KI-Pentesting-Agenten markiert einen Wendepunkt. Wenn KI Schwachstellen schneller findet als Menschen, müssen Patch-Zyklen und Vulnerability-Management grundlegend neu gedacht werden.
Analyse basierend auf BleepingComputer und The Hacker News (März 2026)

Office Preview Pane: Angriff ohne Klick

Zwei weitere Schwachstellen verdienen besondere Aufmerksamkeit: CVE-2026-26110 und CVE-2026-26113 betreffen Microsoft Office und erlauben Remote-Code-Execution allein durch die Vorschau einer Datei. Ein Benutzer muss eine manipulierte Datei nicht öffnen. Es reicht, sie in der Outlook Preview Pane anzuzeigen.

Für Unternehmen, die Outlook als primären E-Mail-Client nutzen, ist das ein direkter Angriffsvektor: Eine E-Mail mit manipuliertem Anhang reicht aus. Der Empfänger muss nichts tun. Die Vorschaufunktion löst den Exploit aus.

Patch-Prioritäten: Was zuerst gepatcht werden muss

Sofort (innerhalb von 24 Stunden): CVE-2026-21262 (SQL Server EoP, Zero-Day) und CVE-2026-26127 (.NET DoS, Zero-Day) auf allen Internet-exponierten Systemen.
Innerhalb von 48 Stunden: CVE-2026-26110 und CVE-2026-26113 (Office Preview Pane RCE) auf allen Outlook-Clients.
Innerhalb von 72 Stunden: CVE-2026-21536 (CVSS 9.8, Devices Pricing Program) und alle verbleibenden kritischen Patches.
Im regulären Patch-Zyklus: Die übrigen 78 Schwachstellen, priorisiert nach CVSS-Score und Exposure.

Fazit: Der März-Patch-Tuesday zeigt zwei Trends

Erstens: Zero-Days werden zur Routine. Zwei aktiv ausgenutzte Schwachstellen in einem Monat sind kein Ausreißer mehr, sondern der Normalzustand. Patch-Zyklen von 30 Tagen sind nicht mehr akzeptabel, wenn Exploits vor dem Patch verfügbar sind.

Zweitens: KI verändert beide Seiten. XBOW zeigt, dass KI-Agenten kritische Schwachstellen finden können, die Menschen übersehen. Das ist gut für die Verteidigung, aber auch eine Warnung: Angreifer haben Zugang zur gleichen Technologie. Die Frage ist nicht ob, sondern wann der erste Breach durch eine KI-gefundene Schwachstelle erfolgt.

Häufige Fragen

Was sind die wichtigsten Patches im März 2026?

Die höchste Priorität haben die zwei Zero-Days: CVE-2026-21262 (SQL Server, CVSS 8.8) und CVE-2026-26127 (.NET DoS). Dazu CVE-2026-21536 (CVSS 9.8, KI-gefunden) und die Office Preview Pane RCEs (CVE-2026-26110, CVE-2026-26113).

Was ist XBOW und warum ist die KI-gefundene CVE besonders?

XBOW ist ein vollautomatischer KI-Penetrationstest-Agent, der Softwareoberflächen eigenständig auf Schwachstellen testet. CVE-2026-21536 ist die erste öffentlich dokumentierte kritische Schwachstelle in Enterprise-Software, die ein KI-Agent ohne menschliche Anleitung entdeckt hat.

Wie gefährlich ist die Office Preview Pane Schwachstelle?

Sehr gefährlich, weil kein Benutzer-Klick nötig ist. Eine E-Mail mit manipuliertem Anhang in Outlook reicht aus. Die Vorschaufunktion (Preview Pane) löst den Exploit aus, ohne dass der Benutzer die Datei öffnet. Betroffen sind alle Outlook-Versionen mit aktivierter Vorschau.

Muss ich sofort patchen?

Internet-exponierte Systeme (Webserver, APIs, SQL-Server): innerhalb von 24 Stunden. Outlook-Clients: innerhalb von 48 Stunden. Alle kritischen Patches: innerhalb von 72 Stunden. Der Rest im regulären Patch-Zyklus. Die Zero-Days werden bereits aktiv ausgenutzt.

Lesetipps der Redaktion

Angriff über Microsoft Teams: A0Backdoor – Aktueller Microsoft-Angriffsvektor (SecurityToday)
Identitätsangriffe 2026: Login als Waffe – Kontext zu Credential-basierten Angriffen (SecurityToday)
API-Sicherheit: 5 Schritte – .NET DoS im API-Kontext (SecurityToday)

Mehr aus dem MBF Media Netzwerk

CIOs unter Druck: KI-Governance-Krise – KI in der Sicherheitsbranche (Digital Chiefs)
VMware-Kostenfalle: Alternativen – Infrastruktur-Patching im Kontext (cloudmagazin)

Quelle Titelbild: Markus Spiske / Pexels

Artikel drucken

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor Alec Chizhik

Auch verfügbar in

Français Español English