Version 1.0: Microsoft Windows IKE - Kritische Schwachstelle gefährdet Windows VPN-Server

Im Rahmen seines monatlichen Patchdays veröffentlichte Microsoft am Abend des 14. April 2026 Sicherheitsupdates für eine Vielzahl an Schwachstellen in seinen Produkten, darunter auch für verschiedene als "kritisch" eingestufte Sicherheitslücken, die unterschiedliche Microsoft Produkte betreffen. Besonders hervorzuheben ist in diesem Zusammenhang eine kritische Schwachstelle, welche die Windows Internet Key Exchange (IKE) Service Extensions betrifft. Dieser Dienst befindet sich sowohl auf Windows Servern als auch Clients und stellt einen essenziellen Baustein zum Aufbau von VPN-Verbindungen dar. Das Protokoll IKE ist hier u.a. für den Austausch von Schlüsseln und die Festlegung von Verschlüsselungsalgorithmen zuständig. Mit dem April Patchday macht Microsoft die Schwachstelle CVE-2026-33824 im Windows IKE Dienst bekannt. Diese erlaubt einem nicht-authentifizierten Angreifer die Ausführung von Code aus der Ferne, sofern dieser speziell manipulierte Pakete an ein Windows (Server-)System sendet, auf welchem IKEv2 im Einsatz und von außen erreichbar ist. Nach dem Common Vulnerability Scoring System (CVSS) erhält die Verwundbarkeit entsprechend dieser Charakteristika einen Score von 9.8/10 (CVSS v3.1).