Patchwork: Kritische Lücken und ein Für-mehr-IT-Sicherheitstipp
Die wichtigen Schwachstellen und Fixes des Monats
Der Jahresauftakt 2026 hält die IT-Sicherheitsteams weltweit in Atem. Mit einem besonders kritischen Zero-Day bei Cisco und weitreichenden Updates von Microsoft und Oracle steht das Patch-Management unter hohem Druck. Wir fassen die wichtigsten Schwachstellen und Sofortmaßnahmen zusammen.
Auffällig häufig sind sowohl Zero-Day- als auch N-Day-Exploits. Ein Trend, der durch den aktuellen State of Exploitation bestätigt wird: 28,96 % der KEVs wiesen am oder vor dem Tag der Veröffentlichung des CVE bereits eine Ausnutzung auf – 5 % mehr als noch im Jahr zuvor. Insbesondere Cloud-Infrastrukturen und Kommunikationslösungen stehen im Fokus.
Da der Microsoft-Patchday und das Oracle Critical Patch Update (CPU) Hunderte Fixes enthalten, gehen wir nur auf die kritischsten und am häufigsten gemeldeten Schwachstellen ein.
TL;DR – Was im Januar 2026 wichtig war
- Cisco meldet kritische RCE‑0‑Day (CVE‑2026‑20045) in Unified‑Communications‑ Produkten und Webex (dedicated Instanz) und in sicheren E-Mail-Gateways (CVE-2025-20393, CVSS Score 10 out of 10!), beide bereits aktiv ausgenutzt. Patches liegen vor
- Fortinet: Anhaltende, automatisierte Angriffe auf FortiCloud‑/SAML‑SSO; mehrere CVE; Sofortmaßnahmen: Patchen und admin‑forticloud‑sso‑login deaktivieren, Admin‑Zugriffe segmentieren.
- AMD veröffentlicht Bulletin AMD‑SB‑3027 (StackWarp / CVE‑2025‑29943), betroffen sind Zen 1 bis 5 CPUs; Microcode/AGESA‑Updates via OEM/BIOS nötig
- Oracle liefert die CPU Januar 2026 mit 337 Patches (~158 CVEs), u. a. CVE‑2026‑21962 (CVSS 10.0) und CVE‑2026‑21945 (Java SSRF)
- VMware: Bereits gepatchte vCenter‑RCE CVE‑2024‑37079 wird jetzt aktiv ausgenutzt; Patches zwingend. Zusätzlich CVE‑2026‑22718 (Spring CLI VS Code‑Erweiterung)
- AWS: u. a. CVE‑2026‑0830 (Kiro IDE Command Injection) und CVE‑2026‑22611 (SDK .NET – Defense‑in‑Depth); CodeBreach reloaded
- Azure & Microsoft 365 (Patch Tuesday Jan 2026): 112‑115 CVEs je nach Zählung; 1 Zero‑Day (CVE‑2026‑20805 DWM, aktiv ausgenutzt). Wichtige M365‑Workloads: Office/SharePoint (mehrere RCE). Zusätzlich Azure‑nahe CVEs (Agent/Library) sowie zwei Notfall-Patches, welche die Probleme eines katastrophalen Patch-Tuesdays beheben (sollen) – Fortsetzung folgt.
- Außerdem entüllten Forscher einen Reprompt-Angriff, der Datenabfluss aus Microsoft Copilot mit einem einzigen Klick ermöglicht
- Cloudflare: Behobener ACME/WAF‑Bypass (keine Kundentätigkeit nötig) + CVE‑2026‑0933 (Wrangler CLI), Update für Wrangler empfohlen. Und dann ist da noch NotCVE-206-0001: Cloudflare Universal SSL CAA kann die Ausstellung nicht autorisierter DV-Zertifikate ermöglichen
- Palo Alto Networks: GlobalProtect-DoS-Sicherheitslücke (CVE-2026-0227), kann Firewalls ohne Anmeldung zum Absturz bringen; mehrere PAN-OS-Versionen sind betroffen, Cloud Next-Generation Firewall (NGFW) nicht betroffen; Security Updates verfügbar
-v
Cisco meldete mit CVE-2026-20045 eine schwerwiegende Remote‑Code‑Execution‑Schwachstelle in Unified‑Communications‑Produkten und dedizierten Webex-Calling‑Instanzen. Als Ursache gilt eine unzureichende Validierung von HTTP‑Requests im Web‑Management‑Interface. Angreifer können darüber root‑Zugriff erlangen; Exploits wurden bereits im Einsatz beobachtet. Die Empfehlung ist eindeutig: sofortige Aktualisierung der betroffenen Releases sowie strikte Netzwerkschranken für Management‑Zugänge.
Weitere Cisco‑Lücken im Januar betrafen vor allem XSS‑ und XXE‑Probleme in Identity Services Engine und Infrastrukturtools. Sie sind weniger schwerwiegend, unterstreichen jedoch die Notwendigkeit kontinuierlicher Hygiene im Netzwerkmanagement.
Und wer es im Dezember verpasst hat (war ja auch schon fast Weihnachten): CVE-2025-20393 hat einen CVSS-Score von 10 (der Höchstmögliche, mal wieder) und möchte ebenfalls dringend mitigiert werden. Betroffen sind Cisco AsyncOS-Software für Cisco Secure Email Gateway sowie Cisco Secure Email and Web Manager. Der Patch kommt einen Monat, nachdem bekannt wurde, dass die Schwachstelle bereits als Zero-Day-Exploit von einem mit China in Verbindung stehenden APT-Akteur (Advanced Persistent Threat) mit dem Codenamen UAT-9686 ausgenutzt worden sein soll.
Fortinet hat eine kritische Lücke geschlossen (CVE-2025-64155), die eine Übernahme von Monitoring-Systemen ermöglicht. Empfohlen wird das Upgrade auf FortiOS 7.6.4+ bzw. die neuesten FortiSIEM-Versionen. Patches gibt es beim Fortinet Support Service (PSIRT-Advisory: FG-IR-25-772).
Außerdem steht Fortinet im Fokus einer Angriffsserie, die FortiCloud‑ und SAML‑SSO‑Implementierungen betrifft. Besonders relevant sind CVE‑2025‑59718 und CVE‑2025‑59719: Schwachstellen, die es Angreifern ermöglichen, ohne Authentifizierung Admin‑Accounts anzulegen, Konfigurationen zu exportieren und VPN‑Zugänge zu aktivieren. Brisant ist, dass diese Angriffe auch vollständig gepatchte Geräte treffen, wie das BSI und mehrere internationale CERTs berichten.
Empfohlen werden das sofortige Deaktivieren von FortiCloud‑SSO, das Härten von Local‑In‑Regeln, Log‑Analysen sowie der Netzwerksegmentierung. Grundsätzlich gilt: Fortinet‑Umgebungen mit direkter Internet‑Exposition sind besonders risikobehaftet.
AMD veröffentlichte mit AMD‑SB‑3027 Details zu CVE‑2025‑29943 („StackWarp“) – einem hardwarenahen Angriff auf SEV‑SNP‑geschützte Workloads. Ein kompromitierter Hypervisor kann dabei den Stack Pointer von Confidential‑VMs manipulieren. Das Risiko betrifft insbesondere Betreiber von Cloud‑ und Multi‑Tenant‑Umgebungen.
Die Mitigation erfolgt über Microcode‑ und AGESA‑Updates, die über OEM‑BIOS‑Updates ausgerollt werden. Für Betreiber von EPYC‑basierter Infrastruktur sind diese Firmware‑Aktualisierungen geschäftskritisch.
Das Januar-Patch-Paket von Oracle ist eines der umfangreichsten der vergangenen Jahre: 337 Patches, rund 158 eindeutige CVEs, darunter mehrere kritische RCE‑Schwachstellen. Herausragend sind CVE‑2026‑21962 (CVSS 10.0) im WebLogic‑Proxy‑Plug‑in sowie CVE‑2026‑21945 (SSRF in Java SE).
Die Breite der betroffenen Produkte – Datenbanken, Java, MySQL, APEX, Middleware, Communications – macht eine konsequente Patch‑Strategie mit gestaffeltem Rollout nötig, insbesondere in stark vernetzten Unternehmenslandschaften.
Die bereits 2024 geschlossene, aber jetzt aktiv ausgenutzte Schwachstelle CVE‑2024‑37079 (Heap Overflow in DCE/RPC) trifft das Herz der Virtualisierungsarchitektur: vCenter. Ein erfolgreicher Angriff ermöglicht die volle Kontrolle über Virtualisierungs‑Hosts und erlaubt weitreichende laterale Bewegungen.
Behörden wie CISA fordern dringende Updates bis spätestens Februar.
Zusätzlich meldete VMware CVE‑2026‑22718 (Kommandoinjektion in Spring‑CLI‑Tools), die insbesondere CI‑/Entwicklungsumgebungen betrifft.
Für AWS sind im Januar zwei Themen relevant:
- CVE‑2026‑0830 – Command‑Injection‑Angriff in der Kiro‑IDE, der besonders CI‑/CD‑Workflows gefährdet.
- CVE‑2026‑22611 – Eine Defense‑in‑Depth‑Verbesserung im AWS .NET SDK, die falsche Parameterhärtung adressiert.
Beide Themen unterstreichen die Verwundbarkeit moderner Build‑Pipelines. Updates sollten umgehend eingespielt werden.
Dazu kommen Spätfolgen von CodeBreach – einer Schwachstelle, die AWS eigentlich schon im September 2025 geschlossen haben wollte. Jetzt entdeckten Forschende bei Wiz Research eine kritische Schwachstelle in der Lieferkette, die eine Fehlkonfiguration von CodeBuild ausnutzte, um wichtige AWS-GitHub-Repositorys zu übernehmen – darunter auch das JavaScript-SDK, das die AWS-Konsole unterstützt. Wiz empfiehlt, zu verhindern, dass nicht vertrauenswürdige Pull-Anfragen privilegierte Builds auslösen und die Verbindung zwischen CodeBuild und GitHub abzusichern.
Mit 112–115 Schwachstellen (je nach Zählung) bringt Microsofts Januar‑Patch eine breite Palette an Fixes – am kritischsten ist jedoch der Zero‑Day CVE‑2026‑20805 in der Desktop-Window-Manager-Komponente. Die Schwachstelle wird aktiv ausgenutzt und erlaubt das Offenlegen sensibler Speicheradressen, was Exploit‑Chains deutlich erleichtert.
Neben den monatlichen OS-Patches sticht eine Lücke im Windows Admin Center hervor, die Azure-Hybridszenarien gefährdet. Bei der Schwachstelle mit der CVE-2026-20965 handelt es sich um einen Typ der Privilegienerweiterung, der eine Umgehung der Signaturprüfung ermöglicht. Das Risiko besteht darin, dass lokale Angreifer kryptografische Signaturen umgehen und ihre Berechtigungen signifikant ausweiten können. Zur Abhilfemaßnahme ist die Installation der Januar-Updates über Windows Update oder WSUS erforderlich.
Darüber hinaus zählen zu den wichtigsten Schwachstellen:
- Office‑RCEs (CVE‑2026‑20952/-20953) – gefährlich durch die Auslösung über Vorschaufenster.
- Excel‑RCEs (CVE‑2026‑20955/-20957) – klassisches Dokument‑Ausnutzungsrisiko.
- SharePoint‑RCEs (CVE‑2026‑20947/-20963) – speziell für hybride und On‑Prem‑Umgebungen relevant.
- Azure‑Agent‑ und Library‑Schwachstellen (CVE‑2026‑21224/-21226) – relevant für Multi‑Cloud‑ und Servermanagement.
Unternehmen sollten hier priorisiert patchen und insbesondere Vorschau‑Funktionen in Office bis zum vollständigen Rollout deaktivieren.
Und als ob das alles nicht schon genug wäre, verursachte das Update vom 13. Januar eine Reihe von Problemen, die das Herunterfahren des Betriebssystems und den Remote-Desktop betrafen. Dafür wurde ein Notfall-Update veröffentlicht, das die ersten beiden Probleme zu beheben schien, dann jedoch dazu führte, dass E-Mails hängen blieben, Outlook abstürzte und es zu Problemen beim Zugriff auf Cloud-Speicher kam. Ein weiteres Notfall-Update (das Zweite in 7 Tagen!) soll nun die Folgen des katastrophalen Januar-Patch-Tuesdays beheben.
Und es geht noch weiter: Wie The Hacker News berichtet, haben Cybersicherheitsforscher Details zu einer neuen Angriffsmethode namens „Reprompt“ veröffentlicht, mit der Kriminelle sensible Daten aus KI-Chatbots wie Microsoft Copilot mit einem einzigen Klick exfiltrieren und dabei die Sicherheitskontrollen von Unternehmen vollständig umgehen können. Dolev Taler, Sicherheitsforscher bei Varonis, schreibt in seinem Bericht: „Ein einziger Klick auf einen legitimen Microsoft-Link reicht aus, um Opfer zu kompromittieren. Keine Plugins, keine Interaktion des Benutzers mit Copilot.“ – So ganz neu ist das nicht: Schwachstelle wie diese wurden von Inbar Raz bereits 2025 auf der IT-Defense vorgestellt: „Your Copilot is My Insider“.
Cloudflare schloss im Januar eine ACME‑WAF‑Bypass‑Schwachstelle, die Anfragen an den ACME‑Challenge‑Pfad unbeabsichtigt am WAF vorbeileitete. Da Cloudflare serverseitig korrigiert hat, besteht kein Handlungsbedarf für Kunden.
Zusätzlich wurde CVE‑2026‑0933 gemeldet – eine Command‑Injection‑Schwachstelle im Wrangler‑CLI, die insbesondere CI‑Routinen betrifft. Updates auf die gefixten Versionen sind obligatorisch.
Und dann gibt es da noch die erste NotCVE des Jahres (!CVE-2026-0001): Cloudflare Universal SSL kann automatisch zusätzliche CAA-Issue-/Issuewild-Einträge hinzufügen – wenn Universal SSL aktiviert ist und CAA-Einträge für die Zone veröffentlicht werden. Diese automatisch hinzugefügten Einträge werden nicht im Cloudflare-Dashboard angezeigt, werden jedoch in DNS-Antworten zurückgegeben und können dann auch permissive Autorisierungen enthalten.
Der Für-mehr-IT-Sicherheitstipp
Besonders auffällig war im Januar, dass selbst frisch gepatchte Umgebungen weiterhin von einigen Problemen gefährdet blieben. Für Unternehmen bedeutet das: Patch‑Priorisierung, Angriffsoberflächen‑Reduktion und Cloud‑Posture‑Management sind zwingender geworden als je zuvor.
Die bloße Masse an Sicherheitsmeldungen kann jedoch schnell zur „Patch-Fatigue“ führen. Ein moderner Ansatz bricht mit der Regel „Alles mit CVSS > 7 sofort patchen“ und setzt stattdessen auf den Kontext.
So gelingt die Priorisierung:
- Business Impact Analyse: Identifizieren Sie Ihre „Kronjuwelen“. Eine Schwachstelle in einem öffentlich erreichbaren Webserver (Edge-Device) muss zwingend vor einer Lücke in einem isolierten Testsystem behandelt werden.
- CISA KEV Katalog: Nutzen Sie den Known Exploited Vulnerabilities Katalog der CISA. Er ist eine Goldgrube für Schwachstellen, von denen man sicher weiß, dass sie in freier Wildbahn bereits für Angriffe genutzt werden.
- EPSS (Exploit Prediction Scoring System) nutzen: Während der CVSS-Score nur die theoretische Schwere einer Lücke beschreibt, gibt der EPSS-Wert die Wahrscheinlichkeit an (0 bis 1), dass eine Lücke innerhalb der nächsten 30 Tage tatsächlich ausgenutzt wird. Eine Lücke mit CVSS 9.8, die kaum ausnutzbar ist, kann so hinter eine Lücke mit CVSS 7.5 zurücktreten, für die bereits ein funktionsfähiger Exploit-Code im Darknet kursiert.
Um den Erfolg dieser risikobasierten Strategie zu messen, sollten Sie folgende Kennzahlen tracken:
- Mean Time to Remediate (MTTR) kritischer Assets
- Patch Coverage (Prozent vs. Zeit)
- Vulnerability Reopen Rate (vs. Patchversuche)
- Asset Visibility Gap (CMDB vs. Asset-Scan z. B. im Vuln.-Manager)