Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 11.06.2026 · 3 min Lesezeit

HTTP.sys-Lücke CVE‑2026‑47291 (CVSS 9,8): Ungepatchte Windows-Systeme durch unauthentifizierte RCE bedroht

CVE-2026-47291 (CVSS 9,8) im Windows-Kernel-Treiber HTTP.sys erlaubt unauthentifizierten Angreifern Remote-Code-Ausführung. Der Juni-2026-Patchday bringt den Fix – besonders gefährdet sind Umgebungen mit angepasstem MaxRequestBytes-Registrierungswert.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Warnmeldung zu CVE-2026-47291 in HTTP.sys: Eine kritische Schwachstelle mit CVSS 9,8 ermöglicht auf ungepatchten Windows-Systemen unter bestimmten Voraussetzungen unauthentifizierte Remote Code Execution über das Netzwerk.

Microsoft hat am 9. Juni 2026 im Rahmen des monatlichen Patchdays eine kritische Schwachstelle im Windows-Kernel-Treiber HTTP.sys behoben. CVE-2026-47291 erhält einen CVSS-Score von 9,8 und ermöglicht einem unauthentifizierten, netzwerkbasiert agierenden Angreifer die Ausführung von beliebigem Code auf betroffenen Windows-Systemen – ohne dass Benutzerinteraktion erforderlich ist. Sicherheitsforscher der Zero Day Initiative und BleepingComputer heben diese Lücke als eine der dringlichsten des gesamten Juni-Patchdays hervor.

Die Schwachstelle im Detail

HTTP.sys ist ein Kernel-Mode-Treiber, der in nahezu jeder Windows-Server-Installation aktiv ist und alle eingehenden HTTP- und HTTPS-Anfragen auf Betriebssystemebene verarbeitet. Dienste wie der Internet Information Services (IIS), Remote Desktop Services (RDS) und zahlreiche weitere Windows-Komponenten setzen direkt auf diesen Treiber auf.

CVE-2026-47291 wurde bereits zum Zeitpunkt der Veröffentlichung öffentlich bekannt gemacht – der Fehler besitzt damit Zero-Day-Status. Microsoft bestätigt zum Zeitpunkt der Patch-Veröffentlichung keine aktive Ausnutzung in freier Wildbahn, die öffentliche Bekanntheit der Lücke erhöht jedoch den Zeitdruck erheblich.

Eine Besonderheit der Schwachstelle: Systeme, die den Standard-Registrierungswert MaxRequestBytes unverändert belassen haben, sind laut Microsoft nicht anfällig. Produktivumgebungen mit angepassten HTTP-Konfigurationen – etwa für besonders große Anfragen oder spezialisierte Webanwendungen – sind hingegen direkt gefährdet. Im Juni-Patchday tritt CVE-2026-47291 zudem gemeinsam mit CVE-2026-45657 auf, einer wurmfähigen Kernel-RCE-Lücke, was die Gesamtgefährlichkeit des Updatezyklus weiter steigert.

Bin ich betroffen?

Potenziell betroffen sind alle Systeme, auf denen HTTP.sys aktiv Anfragen verarbeitet und der Registrierungswert MaxRequestBytes gegenüber dem Windows-Standard modifiziert wurde. Dazu zählen:

  1. Windows Server (alle unterstützten Versionen)
  2. Windows 10 und Windows 11
  3. Installationen mit IIS (Internet Information Services)
  4. Remote Desktop Services (RDS)-Gateways
  5. Alle weiteren Dienste, die HTTP.sys direkt nutzen

Ob der Registrierungsschlüssel in der eigenen Umgebung angepasst wurde, lässt sich mit folgendem PowerShell-Befehl prüfen:

Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\HTTP\Parameters" -Name "MaxRequestBytes" -ErrorAction SilentlyContinue

Gibt der Befehl keinen Wert zurück oder zeigt den Windows-Standard an, ist das System laut Microsoft nicht über diesen spezifischen Angriffsvektor gefährdet. Dennoch empfiehlt Microsoft das Einspielen des Patches in jedem Fall. Wie die zentrale Patch-Verteilung über WSUS grundsätzlich funktioniert, erläutert die Anleitung Windows-Updates mit WSUS und Update for Business auf s-edv.com.

Wie behebe ich das?

Microsoft stellt den Patch für CVE-2026-47291 als Teil des regulären Juni-2026-Patchdays bereit. Die Updates sind über folgende Wege verfügbar:

  1. Windows Update: Automatische Installation bei aktivierten Updates
  2. WSUS (Windows Server Update Services): Freigabe und Verteilung über die interne Update-Infrastruktur
  3. Microsoft Intune / Endpoint Manager: Rollout über Richtlinien
  4. SCCM / Microsoft Configuration Manager: Zentrale Verteilung in verwalteten Umgebungen

Nach dem Einspielen des Patches sollte zusätzlich geprüft werden, ob der MaxRequestBytes-Registrierungsschlüssel unter HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters bewusst gesetzt wurde. Falls kein technischer Grund für eine Abweichung vom Standard besteht, empfiehlt sich die Rückführung auf den Standardwert als zusätzliche Härtungsmaßnahme.

Was bedeutet das für Unternehmen?

HTTP.sys ist kein optionaler Dienst, sondern tief in die Windows-Netzwerkarchitektur integriert. Ein erfolgreicher Exploit würde einem Angreifer Remote-Zugriff auf Webserver, IIS-Instanzen und RDS-Gateways verschaffen – ohne gültige Zugangsdaten zu benötigen. Die Kombination aus Zero-Day-Status (öffentlich bekannt), CVSS 9,8 und fehlender Authentifizierungsvoraussetzung macht CVE-2026-47291 zu einem der kritischsten Patches des Jahres 2026.

Besonders Unternehmen, die Windows-Server im Internet exponieren, IIS-basierte Webapplikationen betreiben oder RDS-Gateways für mobiles Arbeiten nutzen, sollten die Bereitstellung des Patches mit höchster Priorität behandeln. Da die Lücke öffentlich bekannt ist, ist ein zeitnahes Erscheinen von Proof-of-Concept-Exploits realistisch.

Sicherheitsverantwortliche sollten darüber hinaus prüfen, ob in ihrer Umgebung eine vollständige Patch-Abdeckung sichergestellt ist – gerade bei Systemen, die nicht über Standard-Windows-Update verwaltet werden. Ergänzende Schutzmaßnahmen wie die konsequente Einführung von Zwei-Faktor-Authentifizierung und MFA reduzieren das Risiko im Fall einer Kompromittierung erheblich.

Quellen: Zero Day Initiative: The June 2026 Security Update Review | BleepingComputer: Microsoft June 2026 Patch Tuesday fixes 6 zero-days, 200 flaws | Help Net Security: Record Microsoft Patch Tuesday, fresh zero-day

Verwandt

Weiter lesen

Alle Artikel →
Grafik zum SAP Patchday im Juni 2026 mit vier kritischen Sicherheitslücken in SAP NetWeaver und SAP Commerce Cloud, darunter Schwachstellen mit einem CVSS-Wert von bis zu 9,9.
11.06.2026 ·3 min

SAP Patchday Juni 2026: Vier kritische Lücken in NetWeaver und Commerce Cloud – CVSS bis 9,9

SAP hat am 9. Juni 2026 insgesamt 15 Sicherheitshinweise veröffentlicht, darunter vier kritische CVEs mit CVSS-Wertungen bis 9,9. Betroffen sind NetWeaver AS ABAP und Java, S/4HANA sowie Commerce Cloud. Administratoren sollten die Patches sofort einspielen.
Dashlane Breach Hero Visual mit aufgebrochenen Passwort-Tresoren und Cyberangriffs-Optik
10.06.2026 ·4 min

Dashlane-Einbruch: Angreifer stehlen fast 20 verschlüsselte Passwort-Tresore via 2FA-Brute-Force

Angreifer nutzten eine Brute-Force-Attacke gegen Dashlanes Geräteregistrierungs-API, um TOTP-basierte Zwei-Faktor-Codes zu erraten und verschlüsselte Passwort-Tresore von weniger als 20 Personal-Plan-Nutzern herunterzuladen – ein Weckruf für MFA-Implementierungen.
Gebrochenes Sicherheitsschild über Serverraum als Symbol für Microsoft Defender Zero-Day-Schwachstellen
10.06.2026 ·3 min

Chrome Zero-Day CVE-2026-11645: 5. aktiv ausgenutzte V8-Lücke 2026 – sofort updaten

Google hat am 9. Juni 2026 ein Notfall-Update für Chrome veröffentlicht, das 74 Schwachstellen schließt – darunter den aktiv ausgenutzten Zero-Day CVE-2026-11645 in der V8-JavaScript-Engine. Es ist bereits der fünfte Chrome-Zero-Day des Jahres.