Patchwork: Kritische Lücken und ein Für-mehr-IT-Sicherheitstipp

Die wichtigen Schwachstellen und Fixes des Monats

Bild: Getty Imagaes / Credits: spawns

Der Jahresauftakt 2026 hält die IT-Sicherheitsteams weltweit in Atem. Mit einem besonders kritischen Zero-Day bei Cisco und weitreichenden Updates von Microsoft und Oracle steht das Patch-Management unter hohem Druck. Wir fassen die wichtigsten Schwachstellen und Sofortmaßnahmen zusammen.

Auffällig häufig sind sowohl Zero-Day- als auch N-Day-Exploits. Ein Trend, der durch den aktuellen State of Exploitation bestätigt wird: 28,96 % der KEVs wiesen am oder vor dem Tag der Veröffentlichung des CVE bereits eine Ausnutzung auf – 5 % mehr als noch im Jahr zuvor. Insbesondere Cloud-Infrastrukturen und Kommunikationslösungen stehen im Fokus.

Da der Microsoft-Patchday und das Oracle Critical Patch Update (CPU) Hunderte Fixes enthalten, gehen wir nur auf die kritischsten und am häufigsten gemeldeten Schwachstellen ein.

TL;DR – Was im Januar 2026 wichtig war

-v

Cisco meldete mit CVE-2026-20045 eine schwerwiegende Remote‑Code‑Execution‑Schwachstelle in Unified‑Communications‑Produkten und dedizierten Webex-Calling‑Instanzen. Als Ursache gilt eine unzureichende Validierung von HTTP‑Requests im Web‑Management‑Interface. Angreifer können darüber root‑Zugriff erlangen; Exploits wurden bereits im Einsatz beobachtet. Die Empfehlung ist eindeutig: sofortige Aktualisierung der betroffenen Releases sowie strikte Netzwerkschranken für Management‑Zugänge.

Weitere Cisco‑Lücken im Januar betrafen vor allem XSS‑ und XXE‑Probleme in Identity Services Engine und Infrastrukturtools. Sie sind weniger schwerwiegend, unterstreichen jedoch die Notwendigkeit kontinuierlicher Hygiene im Netzwerkmanagement.

Und wer es im Dezember verpasst hat (war ja auch schon fast Weihnachten): CVE-2025-20393 hat einen CVSS-Score von 10 (der Höchstmögliche, mal wieder) und möchte ebenfalls dringend mitigiert werden. Betroffen sind Cisco AsyncOS-Software für Cisco Secure Email Gateway sowie Cisco Secure Email and Web Manager. Der Patch kommt einen Monat, nachdem bekannt wurde, dass die Schwachstelle bereits als Zero-Day-Exploit von einem mit China in Verbindung stehenden APT-Akteur (Advanced Persistent Threat) mit dem Codenamen UAT-9686 ausgenutzt worden sein soll.

Fortinet hat eine kritische Lücke geschlossen (CVE-2025-64155), die eine Übernahme von Monitoring-Systemen ermöglicht. Empfohlen wird das Upgrade auf FortiOS 7.6.4+ bzw. die neuesten FortiSIEM-Versionen. Patches gibt es beim Fortinet Support Service (PSIRT-Advisory: FG-IR-25-772).

Außerdem steht Fortinet im Fokus einer Angriffsserie, die FortiCloud‑ und SAML‑SSO‑Implementierungen betrifft. Besonders relevant sind CVE‑2025‑59718 und CVE‑2025‑59719: Schwachstellen, die es Angreifern ermöglichen, ohne Authentifizierung Admin‑Accounts anzulegen, Konfigurationen zu exportieren und VPN‑Zugänge zu aktivieren. Brisant ist, dass diese Angriffe auch vollständig gepatchte Geräte treffen, wie das BSI und mehrere internationale CERTs berichten.

Empfohlen werden das sofortige Deaktivieren von FortiCloud‑SSO, das Härten von Local‑In‑Regeln, Log‑Analysen sowie der Netzwerksegmentierung. Grundsätzlich gilt: Fortinet‑Umgebungen mit direkter Internet‑Exposition sind besonders risikobehaftet.

AMD veröffentlichte mit AMD‑SB‑3027 Details zu CVE‑2025‑29943 („StackWarp“) – einem hardwarenahen Angriff auf SEV‑SNP‑geschützte Workloads. Ein kompromitierter Hypervisor kann dabei den Stack Pointer von Confidential‑VMs manipulieren. Das Risiko betrifft insbesondere Betreiber von Cloud‑ und Multi‑Tenant‑Umgebungen.

Die Mitigation erfolgt über Microcode‑ und AGESA‑Updates, die über OEM‑BIOS‑Updates ausgerollt werden. Für Betreiber von EPYC‑basierter Infrastruktur sind diese Firmware‑Aktualisierungen geschäftskritisch.

Das Januar-Patch-Paket von Oracle ist eines der umfangreichsten der vergangenen Jahre: 337 Patches, rund 158 eindeutige CVEs, darunter mehrere kritische RCE‑Schwachstellen. Herausragend sind CVE‑2026‑21962 (CVSS 10.0) im WebLogic‑Proxy‑Plug‑in sowie CVE‑2026‑21945 (SSRF in Java SE).

Die Breite der betroffenen Produkte – Datenbanken, Java, MySQL, APEX, Middleware, Communications – macht eine konsequente Patch‑Strategie mit gestaffeltem Rollout nötig, insbesondere in stark vernetzten Unternehmenslandschaften.

Die bereits 2024 geschlossene, aber jetzt aktiv ausgenutzte Schwachstelle CVE‑2024‑37079 (Heap Overflow in DCE/RPC) trifft das Herz der Virtualisierungsarchitektur: vCenter. Ein erfolgreicher Angriff ermöglicht die volle Kontrolle über Virtualisierungs‑Hosts und erlaubt weitreichende laterale Bewegungen.

Behörden wie CISA fordern dringende Updates bis spätestens Februar.

Zusätzlich meldete VMware CVE‑2026‑22718 (Kommandoinjektion in Spring‑CLI‑Tools), die insbesondere CI‑/Entwicklungsumgebungen betrifft.

Für AWS sind im Januar zwei Themen relevant:

Beide Themen unterstreichen die Verwundbarkeit moderner Build‑Pipelines. Updates sollten umgehend eingespielt werden.

Dazu kommen Spätfolgen von CodeBreach – einer Schwachstelle, die AWS eigentlich schon im September 2025 geschlossen haben wollte. Jetzt entdeckten Forschende bei Wiz Research eine kritische Schwachstelle in der Lieferkette, die eine Fehlkonfiguration von CodeBuild ausnutzte, um wichtige AWS-GitHub-Repositorys zu übernehmen – darunter auch das JavaScript-SDK, das die AWS-Konsole unterstützt. Wiz empfiehlt, zu verhindern, dass nicht vertrauenswürdige Pull-Anfragen privilegierte Builds auslösen und die Verbindung zwischen CodeBuild und GitHub abzusichern.

Mit 112–115 Schwachstellen (je nach Zählung) bringt Microsofts Januar‑Patch eine breite Palette an Fixes – am kritischsten ist jedoch der Zero‑Day CVE‑2026‑20805 in der Desktop-Window-Manager-Komponente. Die Schwachstelle wird aktiv ausgenutzt und erlaubt das Offenlegen sensibler Speicheradressen, was Exploit‑Chains deutlich erleichtert.

Neben den monatlichen OS-Patches sticht eine Lücke im Windows Admin Center hervor, die Azure-Hybridszenarien gefährdet. Bei der Schwachstelle mit der CVE-2026-20965 handelt es sich um einen Typ der Privilegienerweiterung, der eine Umgehung der Signaturprüfung ermöglicht. Das Risiko besteht darin, dass lokale Angreifer kryptografische Signaturen umgehen und ihre Berechtigungen signifikant ausweiten können. Zur Abhilfemaßnahme ist die Installation der Januar-Updates über Windows Update oder WSUS erforderlich.

Darüber hinaus zählen zu den wichtigsten Schwachstellen:

Unternehmen sollten hier priorisiert patchen und insbesondere Vorschau‑Funktionen in Office bis zum vollständigen Rollout deaktivieren.

Und als ob das alles nicht schon genug wäre, verursachte das Update vom 13. Januar eine Reihe von Problemen, die das Herunterfahren des Betriebssystems und den Remote-Desktop betrafen. Dafür wurde ein Notfall-Update veröffentlicht, das die ersten beiden Probleme zu beheben schien, dann jedoch dazu führte, dass E-Mails hängen blieben, Outlook abstürzte und es zu Problemen beim Zugriff auf Cloud-Speicher kam. Ein weiteres Notfall-Update (das Zweite in 7 Tagen!) soll nun die Folgen des katastrophalen Januar-Patch-Tuesdays beheben.

Und es geht noch weiter: Wie The Hacker News berichtet, haben Cybersicherheitsforscher Details zu einer neuen Angriffsmethode namens „Reprompt“ veröffentlicht, mit der Kriminelle sensible Daten aus KI-Chatbots wie Microsoft Copilot mit einem einzigen Klick exfiltrieren und dabei die Sicherheitskontrollen von Unternehmen vollständig umgehen können. Dolev Taler, Sicherheitsforscher bei Varonis, schreibt in seinem Bericht: „Ein einziger Klick auf einen legitimen Microsoft-Link reicht aus, um Opfer zu kompromittieren. Keine Plugins, keine Interaktion des Benutzers mit Copilot.“ – So ganz neu ist das nicht: Schwachstelle wie diese wurden von Inbar Raz bereits 2025 auf der IT-Defense vorgestellt: „Your Copilot is My Insider“.

Cloudflare schloss im Januar eine ACME‑WAF‑Bypass‑Schwachstelle, die Anfragen an den ACME‑Challenge‑Pfad unbeabsichtigt am WAF vorbeileitete. Da Cloudflare serverseitig korrigiert hat, besteht kein Handlungsbedarf für Kunden.

Zusätzlich wurde CVE‑2026‑0933 gemeldet – eine Command‑Injection‑Schwachstelle im Wrangler‑CLI, die insbesondere CI‑Routinen betrifft. Updates auf die gefixten Versionen sind obligatorisch.

Und dann gibt es da noch die erste NotCVE des Jahres (!CVE-2026-0001): Cloudflare Universal SSL kann automatisch zusätzliche CAA-Issue-/Issuewild-Einträge hinzufügen – wenn Universal SSL aktiviert ist und CAA-Einträge für die Zone veröffentlicht werden. Diese automatisch hinzugefügten Einträge werden nicht im Cloudflare-Dashboard angezeigt, werden jedoch in DNS-Antworten zurückgegeben und können dann auch permissive Autorisierungen enthalten.

Der Für-mehr-IT-Sicherheitstipp

Besonders auffällig war im Januar, dass selbst frisch gepatchte Umgebungen weiterhin von einigen Problemen gefährdet blieben. Für Unternehmen bedeutet das: Patch‑Priorisierung, Angriffsoberflächen‑Reduktion und Cloud‑Posture‑Management sind zwingender geworden als je zuvor.

Die bloße Masse an Sicherheitsmeldungen kann jedoch schnell zur „Patch-Fatigue“ führen. Ein moderner Ansatz bricht mit der Regel „Alles mit CVSS > 7 sofort patchen“ und setzt stattdessen auf den Kontext.

So gelingt die Priorisierung:

Um den Erfolg dieser risikobasierten Strategie zu messen, sollten Sie folgende Kennzahlen tracken: