Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 12.06.2026 · 4 min Lesezeit

GreenPlasma CVE‑2026‑45586: Windows-CTFMON-Lücke ermöglicht SYSTEM-Rechte – Juni-Patchday

Microsoft hat mit dem Juni-2026-Patchday die Zero-Day-Lücke GreenPlasma (CVE-2026-45586) im Windows-CTFMON-Dienst geschlossen. Authentifizierte lokale Angreifer konnten damit SYSTEM-Rechte erlangen – ein gefährlicher Angriffsvektor vor allem für Ransomware-Akteure.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Hero-Grafik zu GreenPlasma CVE-2026-45586: Windows-CTFMON-Lücke ermöglicht SYSTEM-Rechte und wird im Juni-Patchday geschlossen

Microsoft hat am 9. Juni 2026 im Rahmen des monatlichen Patch-Tuesday die Schwachstelle CVE-2026-45586, intern als „GreenPlasma" bezeichnet, im Windows-CTFMON-Dienst geschlossen. Die Lücke ermöglicht es authentifizierten lokalen Angreifern, ihre Berechtigungen auf SYSTEM-Ebene zu eskalieren – dem höchsten Privileggrad unter Windows. Zum Zeitpunkt des Patches war die Schwachstelle bereits öffentlich bekannt. Der Juni-Patchday 2026 zählt mit insgesamt 200 behobenen CVEs und sechs Zero-Days zu den umfangreichsten in der Geschichte des Unternehmens.

Die Schwachstelle: Improper Link Resolution im Text Services Framework

CVE-2026-45586 betrifft den Windows-Dienst ctfmon.exe, der zum Text Services Framework (TSF) gehört. Dieser Dienst läuft im Hintergrund und verwaltet unter anderem Eingabemethoden, Spracherkennung und handschriftliche Eingaben auf allen modernen Windows-Versionen.

Die Ursache der Schwachstelle liegt in einer fehlerhaften Link-Auflösung vor dem Dateizugriff (Improper Link Resolution before File Access, CWE-59). Durch die unsachgemäße Auflösung von Verknüpfungen – etwa symbolischen Links oder Junction-Points – kann ein Angreifer den Dienst dazu bringen, auf Dateien oder Ressourcen zuzugreifen, für die er keine Berechtigung hätte. Das Ergebnis ist eine lokale Privilege Escalation auf SYSTEM-Rechte.

GreenPlasma ist kein Remote-Exploit: Ein Angreifer benötigt zwingend lokalen Zugriff auf das System sowie eine gültige Anmeldung. Ein direkter Angriff über das Netzwerk ist nicht möglich. Dennoch stuft Microsoft die Lücke als ernstzunehmendes Risiko ein, da sie – eingebettet in eine mehrstufige Angriffskette – den entscheidenden Schritt von normalem Benutzer zu vollständiger Systemkontrolle ermöglicht.

Ebenfalls im Juni-Patchday enthalten sind weitere Zero-Days: YellowKey (BitLocker), Bitskrieg, eine HTTP/2-Bomb-Lücke sowie Mini-Plasma. Als einzige aktiv ausgenutzte Schwachstelle dieses Patchdays gilt CVE-2026-42897, ein XSS-Fehler in Exchange OWA.

Bin ich betroffen?

Betroffen sind grundsätzlich alle Windows-Systeme, auf denen CTFMON aktiv ist. Das umfasst:

  1. Windows 10 (alle noch unterstützten Versionen)
  2. Windows 11 (alle Versionen)
  3. Windows Server 2016, 2019, 2022 und 2025

Besonders exponiert sind Umgebungen, in denen das Text Services Framework aktiv genutzt wird – also Systeme mit aktivierten Sprachdiensten, Eingabemethoden oder Handschrifterkennung. Auch Terminalserver- und Citrix-Umgebungen sowie gemeinsam genutzte Workstations erhöhen das Risiko, da dort mehrere Benutzer auf demselben System arbeiten.

Ob ein Windows-System noch nicht gepatcht ist, lässt sich über Windows Update → Updateverlauf prüfen. Gesucht wird nach dem kumulativen Update vom 9. Juni 2026. Auf Windows-Servern kann der Patch-Status per PowerShell abgefragt werden:

Get-HotFix | Where-Object { $_.InstalledOn -ge "2026-06-09" }

Eine detaillierte Anleitung zum systematischen Rollout von Updates in Unternehmensumgebungen bietet die s-edv.com-Anleitung zu Windows Updates mit WSUS und Update for Business.

Wie behebe ich das?

Microsoft stellt für CVE-2026-45586 ein vollständiges Sicherheitsupdate bereit. Es gibt keine bekannte Workaround-Lösung, die die Lücke ohne Patch zuverlässig schließt – das Einspielen des Updates ist daher zwingend erforderlich.

Empfohlene Schritte:

  1. Sofort patchen: Das kumulative Update vom Juni 2026 über Windows Update oder WSUS einspielen.
  2. WSUS-Umgebungen: Das Update für alle betroffenen Systeme (Windows 10/11, Windows Server 2016–2025) freigeben und den Rollout überwachen.
  3. Temporäre Maßnahme: In Unternehmensumgebungen lässt sich der CTFMON-Dienst über Gruppenrichtlinien deaktivieren, sofern Sprachdienste und Eingabemethoden nicht benötigt werden. Dies reduziert die Angriffsfläche, ersetzt aber den Patch nicht dauerhaft.

Die Konfiguration von Gruppenrichtlinien zur Systemabsicherung wird in der Anleitung Gruppenrichtlinien (GPO) – Grundlagen und Praxis auf s-edv.com erläutert.

Was bedeutet das für Unternehmen?

Eine Privilege-Escalation-Schwachstelle wie GreenPlasma ist in der modernen Bedrohungslandschaft besonders brisant. Angreifer, die über Phishing, eine kompromittierte Webanwendung oder einen anderen initialen Zugriffsweg bereits Fuß gefasst haben, nutzen genau solche lokalen Eskalationslücken, um aus einer eingeschränkten Benutzerumgebung vollständige Kontrolle über das System zu erlangen.

Ransomware-Gruppen profitieren besonders von SYSTEM-Rechten: Damit lassen sich Sicherheitslösungen deaktivieren, Schattenkopien löschen und Dateien systemweit verschlüsseln. In Citrix- oder RDS-Umgebungen mit mehreren gleichzeitigen Benutzersitzungen besteht zusätzlich das Risiko einer lateralen Eskalation zwischen Sitzungen.

Obwohl zum Zeitpunkt des Patches noch kein öffentlicher Proof-of-Concept-Exploit für CVE-2026-45586 bekannt ist, erhöht die Tatsache, dass die Lücke bereits öffentlich disclosed war, die Wahrscheinlichkeit einer baldigen Ausnutzung erheblich. IT-Abteilungen sollten den Patch daher mit hoher Priorität behandeln und nicht bis zum nächsten regulären Wartungsfenster warten.

Der Gesamtumfang des Juni-Patchdays – 200 CVEs, 33 kritische Lücken, 6 Zero-Days – unterstreicht, dass Unternehmen robuste Patch-Management-Prozesse benötigen. Ein strukturierter Umgang mit dem Ernstfall beginnt mit einem belastbaren Notfallplan; Orientierung bietet die s-edv.com-Anleitung zum Ransomware-Notfallplan: die ersten 60 Minuten.

Quellen: BleepingComputer: Microsoft June 2026 Patch Tuesday fixes 6 zero-days, 200 flaws | BleepingComputer: Microsoft patches YellowKey, GreenPlasma, MiniPlasma zero-days | The Hacker News: Microsoft Patches Record 206 Flaws, Including Three Zero-Days

Verwandt

Weiter lesen

Alle Artikel →
Microsoft veröffentlicht Extended Security Update
12.06.2026 ·3 min

Windows 10 KB5094127: Microsoft veröffentlicht Extended Security Update für End-of-Life-Systeme

Microsoft hat am 9. Juni 2026 das Extended Security Update KB5094127 für Windows 10 veröffentlicht. Da Windows 10 seit Oktober 2025 End-of-Life ist, erhalten nur noch Organisationen mit ESU-Lizenz diese Sicherheitsfixes – ohne Patch droht ein erhebliches Angriffsrisiko.
Hero-Grafik zu Bitskrieg CVE-2026-50507: Zweite BitLocker-Bypass-Lücke im Juni-Patchday schließt eine TPM-Schutzlücke in Windows
12.06.2026 ·4 min

Bitskrieg CVE-2026-50507: Zweite BitLocker-Bypass-Lücke im Juni-Patchday schließt TPM-Lücke

Der Juni-Patchday 2026 schließt mit CVE-2026-50507 (Bitskrieg) eine zweite BitLocker-Bypass-Schwachstelle – spezifisch für TPM-only-Systeme. Zusammen mit YellowKey (CVE-2026-45585) entstehen zwei Angriffspfade auf BitLocker. Betroffen: Windows 11 und Server 2022/2025.
KI Agent entdeckt 21 Zero Day Schwachstellen in FFmpeg während Chrome 149 insgesamt 429 Sicherheitslücken schließt
12.06.2026 ·4 min

KI-Agent findet 21 Zero-Days in FFmpeg – Chrome 149 schließt Rekordzahl von 429 Lücken

Ein autonomer KI-Sicherheitsagent hat in FFmpeg 21 bestätigte Zero-Days aufgedeckt – teils seit 23 Jahren im Code. Zeitgleich patcht Google mit Chrome 149 eine Rekordzahl von 429 Schwachstellen, darunter ein kritischer Bug mit CVSS 9,6.