Windows Server 2025: April-Rollup behebt IIS-Authentifizierungs-Bug
Der kumulative Update KB5054xxx vom 8. April patcht einen Auth-Bypass in IIS Integrated Windows Authentication, den Administratoren seit 24H2 beobachteten.
Mit dem April-2026-Kumulativupdate schliesst Microsoft eine Authentifizierungs-Schwachstelle in den Internet Information Services, die auf Windows Server 2025 unter bestimmten Kerberos-Konstellationen einen Bypass zuliess. Das MSRC stuft den Fall als ‹wichtig› ein, nicht kritisch — eine aktive Ausnutzung ist bislang nicht dokumentiert.
Wer sofort patchen muss
Umgebungen mit publizierten Web-Anwendungen hinter Integrated Windows Authentication, insbesondere Exchange-on-Prem-Installationen und SharePoint-Farmen, sollten das Update innerhalb der nächsten zwei Wochen ausrollen. Microsoft empfiehlt den üblichen Ring-Rollout mit Testring vor Produktion. Der Installationszwang für einen Reboot bleibt bestehen.
Was sich bei Server 2025 sonst tut
Das Rollup bringt zusätzlich Stabilitätsfixes für Storage Spaces Direct und eine überarbeitete Implementation von SMB over QUIC. Administratoren, die Server-Core-Installationen fahren, erhalten ausserdem kleinere Verbesserungen an den Admin-Center-PowerShell-Modulen.