Microsoft Patchday Juni 2026: 198 CVEs, 32 kritisch, drei Zero-Days und wormbare Kernel-Lücke

Am 9. Juni 2026 hat Microsoft den umfangreichsten Patch Tuesday des laufenden Jahres veröffentlicht. Mit 198 adressierten CVEs – 32 davon als kritisch eingestuft, 166 als wichtig – übertrifft dieser Patchday alle bisherigen Monate. Besonders brisant sind eine wormbare Kernel-Lücke mit CVSS-Score 9.8, eine gleichwertige Schwachstelle im HTTP.sys-Stack sowie drei öffentlich bekannte Zero-Days. IT-Abteilungen im DACH-Raum sollten die Updates mit höchster Priorität einplanen.

Die Schwachstellen im Detail

Im Mittelpunkt steht CVE-2026-45657, eine Remote Code Execution (RCE)-Schwachstelle im Windows-Kernel mit einem CVSS-Score von 9.8. Ein Angreifer kann darüber ohne Authentifizierung und ohne jede Nutzerinteraktion über einen TCP/IP-Verarbeitungsfehler Code auf SYSTEM-Ebene ausführen. Die Lücke ist als wormbar eingestuft, das heißt, sie ließe sich für selbstständig verbreitende Schadsoftware – etwa Ransomware – missbrauchen.

Nahezu gleichwertig gefährlich ist CVE-2026-47291 im HTTP.sys-Stack (ebenfalls CVSS 9.8, unauthentifiziert, kein Benutzereingriff nötig). Diese Schwachstelle betrifft alle Windows-Server, auf denen der HTTP-Stack aktiv ist. Als vorläufiger Workaround kann der Registry-Wert MaxHeadersCount gesetzt werden, bis der Patch installiert ist.

Ebenfalls im Fokus steht CVE-2026-50507 (Codename „YellowKey"), ein BitLocker Security Feature Bypass mit CVSS 6.8, den Microsoft als „Exploitation More Likely" klassifiziert. Mit CVE-2026-49160 schließt Microsoft zudem eine HTTP/2-Denial-of-Service-Lücke (CVSS 7.5), die über manipulierte Header-Kompression ausgelöst werden kann.

Als Zero-Days – öffentlich bekannt, aber zum Zeitpunkt der Veröffentlichung nicht aktiv ausgenutzt – gilt unter anderem CVE-2026-45586, eine Privilege-Escalation-Schwachstelle in der Windows-Komponente CTFMON. Insgesamt wurden drei öffentlich bekannte Zero-Days im Rahmen dieses Patchdays behoben; eine aktive Ausnutzung war bei Veröffentlichung nicht bekannt.

Der Remote Desktop Client erhielt mit 11 CVEs besonders viele Fixes, davon vier kritisch: CVE-2026-44801, CVE-2026-44799, CVE-2026-42992 und CVE-2026-42985. Von den insgesamt 32 kritischen Fixes betreffen 28 Remote Code Execution.

Bin ich betroffen?

Die Schwachstellen betreffen grundsätzlich alle unterstützten Windows-Versionen: Windows 10, Windows 11 sowie Windows Server 2016 bis 2025. CVE-2026-47291 ist besonders für Server mit aktivem HTTP-Stack relevant – also etwa Web- und Anwendungsserver sowie Azure-Dienste mit HTTP.sys. CVE-2026-45657 betrifft alle Systeme, die über das Netzwerk erreichbar sind. Die BitLocker-Lücke YellowKey (CVE-2026-50507) ist für alle Systeme mit aktiver BitLocker-Verschlüsselung relevant. Remote Desktop Client-Lücken treffen alle Versionen, auf denen der RDP-Client eingesetzt wird – also auch administrative Workstations und Terminalserver-Clients.

Microsoft 365-Clients sowie Azure-Dienste mit HTTP.sys-Abhängigkeit sind ebenfalls im Scope. Wie das Einrichten und Verwalten von Windows-Updates in Unternehmensumgebungen grundsätzlich funktioniert, erläutert die Anleitung Windows Updates mit WSUS und Update for Business verwalten auf s-edv.com.

Wie behebe ich das?

Der primäre Fix für alle genannten Schwachstellen ist die Installation der aktuellen Windows-Updates über Windows Update bzw. Windows Server Update Services (WSUS). Die jeweiligen KB-Nummern variieren je nach Betriebssystemversion und sind in den Microsoft Security Update Guide-Einträgen der einzelnen CVEs aufgeführt.

Für CVE-2026-47291 (HTTP.sys) stellt Microsoft zusätzlich einen Workaround bereit: Bis zur Patch-Installation kann der Registry-Wert MaxHeadersCount im HTTP.sys-Konfigurationsschlüssel reduziert werden, um den Angriffsvektor zu begrenzen. Systeme mit BitLocker-Verschlüsselung (CVE-2026-50507) sollten prioritär gepatcht werden, da Microsoft diese Lücke als besonders ausnutzungswahrscheinlich einstuft.

Empfohlene Reihenfolge für IT-Teams:

1. Alle extern erreichbaren Windows-Server mit HTTP.sys und Kernel-Networking-Stack sofort patchen (CVE-2026-47291, CVE-2026-45657).
2. BitLocker-Systeme priorisiert behandeln (CVE-2026-50507 YellowKey).
3. Remote Desktop Client-Updates auf administrativen Arbeitsplätzen und Terminalserver-Clients einspielen.
4. Remaining Updates im regulären Patch-Zyklus nachziehen.

Wer die grundlegende Absicherung von Windows-Servern strukturiert angehen möchte, findet auf s-edv.com eine praxisorientierte Übersicht: Active Directory und Domänenstruktur sicher einrichten sowie Gruppenrichtlinien (GPO) für Patch- und Sicherheitsmanagement.

Was bedeutet das für Unternehmen?

Ein wormbarer CVSS-9.8-Fehler im Windows-Kernel stellt eine der gefährlichsten Schwachstellenkategorien dar. Da weder Zugangsdaten noch Nutzerinteraktion erforderlich sind, reicht ein einziges ungepatchtes, netzwerkseitig erreichbares System, um einen vollständigen Domänen-Kompromiss oder eine Ransomware-Ausbreitung in Gang zu setzen. Die gleichzeitige Existenz der HTTP.sys-Lücke mit identischem CVSS-Score potenziert das Risiko für Windows-Server-Infrastrukturen erheblich.

Für DACH-Unternehmen gilt: Wer Systeme mit direktem Internetzugang betreibt oder interne Windows-Server nicht durch segmentierte Netzwerke schützt, muss diese Patches als Notfall behandeln. Die Zero-Day-Komponenten – auch wenn bislang keine aktive Ausnutzung bekannt ist – zeigen, dass Details zu diesen Lücken öffentlich verfügbar sind und Angreifer diese zeitnah für Exploit-Entwicklung nutzen können.

Unternehmen, die noch keine strukturierte Patch-Management-Strategie und keine mehrstufige Authentifizierung im Einsatz haben, sollten dies zum Anlass nehmen, beides einzuführen. Einen praxisnahen Einstieg bietet die Anleitung zur Einführung von Zwei-Faktor-Authentifizierung und MFA auf s-edv.com.

Quellen

BleepingComputer: Microsoft June 2026 Patch Tuesday fixes 3 zero-day, 200 flaws | Tenable: Microsoft's June 2026 Patch Tuesday addresses 198 CVEs | Zero Day Initiative: The June 2026 Security Update Review