Authentifizierungsfehler in SQL Server erlaubt Privilegien-Eskalation

Schwachstelle in Datenbank-Engine identifiziert

Microsoft veröffentlichte am 13. Januar 2026 Sicherheitspatches, die eine bedeutende Schwachstelle in SQL Server adressieren. Die Lücke versetzt autorisierte Anwender in die Lage, Authentifizierungsmechanismen zu überwinden und weitreichende Systemberechtigungen aus der Distanz zu erlangen.

Die unter der Kennung CVE-2026-20803 geführte Schwachstelle entsteht durch das Fehlen von Authentifizierungsverfahren für essenzielle Funktionen in der Datenbank-Engine. Microsoft ordnet die Lücke mit einem CVSS-Score von 7,2 in die Kategorie „wichtig“ ein.

Betroffene Versionen und technische Details

Die Sicherheitslücke manifestiert sich in unterschiedlichen SQL Server-Editionen, einschließlich SQL Server 2022 sowie der erst kürzlich vorgestellten Version SQL Server 2025. Für eine erfolgreiche Ausnutzung benötigen Angreifer erhöhte Zugriffsrechte sowie Netzwerkanbindung.

Nach erfolgreicher Kompromittierung erhalten Angreifer umfangreiche Kontrollmöglichkeiten, darunter Zugang zu Speicherabbildern und Debugging-Funktionen. Dies schafft potenzielle Angriffsflächen für weiterführende Systemkompromittierungen.

Die technische Klassifizierung erfolgt nach CWE-306 (fehlende Authentifizierung für kritische Funktion). Die CVSS-Vektorzeichenfolge lautet: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C mit einem temporalen Score von 6,3.

Einschätzung der Ausnutzbarkeit

Microsoft stuft die Wahrscheinlichkeit einer Ausnutzung zum Veröffentlichungszeitpunkt als gering ein. Diese Bewertung basiert auf den notwendigen Voraussetzungen für einen erfolgreichen Angriff. Eine flächendeckende Ausnutzung in der unmittelbaren Zukunft erscheint unwahrscheinlich.

Zum aktuellen Zeitpunkt liegen keine Informationen über aktive Angriffe oder Versuche einer öffentlichen Offenlegung der Schwachstelle vor.

Verfügbare Sicherheitsupdates

Microsoft stellt Sicherheitspatches für sämtliche betroffenen SQL Server-Versionen über General Distribution Release (GDR) sowie Cumulative Update (CU) zur Verfügung.

Anwender von SQL Server 2022 haben die Wahl zwischen dem Cumulative Update 22 (Build 16.0.4230.2) oder dem RTM GDR-Update (Build 16.0.1165.1). Für SQL Server 2025 steht das GDR-Update vom Januar (Build 17.0.1050.2) bereit.

Handlungsempfehlungen 

Unternehmen sollten prioritär Systeme aktualisieren, die internetbasiert betrieben werden oder vertrauliche Datenbestände verarbeiten. Microsoft rät dazu, die bestehenden Bereitstellungsarchitekturen zu evaluieren und administrative Zugriffsrechte zu beschränken.

Diese Maßnahmen reduzieren das Risiko einer Ausnutzung während der Zeiträume, in denen Updates eingespielt werden. Eine zeitnahe Implementierung der bereitgestellten Patches wird empfohlen.

Auch spannend:

---