Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Windows Server 13.06.2026 · 3 min Lesezeit

Microsoft Patchday Juni 2026: CVE‑2026‑45648 – Kritische RCE-Lücke in Active Directory Domain Services

Microsofts Juni-2026-Patchday schließt 198 Schwachstellen, darunter CVE-2026-45648 – ein kritischer Stack Buffer Overflow in Active Directory, der Remote Code Execution auf Domain Controllern erlaubt. Patches KB5094128 und KB5094125 müssen sofort eingespielt werden.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Gebrochener Netzwerk-Switch mit Warnleuchten in einem dunklen Rechenzentrum als Symbol für einen aktiven Zero-Day-Angriff

Microsoft hat am Juni-2026-Patchday insgesamt 198 Schwachstellen geschlossen, davon 32 als kritisch eingestuft. Im Mittelpunkt für Windows-Server-Administratoren steht CVE-2026-45648: ein Stack-based Buffer Overflow in Active Directory Domain Services (AD DS), der einem authentifizierten Angreifer über das Netzwerk die Ausführung beliebigen Codes auf Domain Controllern ermöglicht. Ergänzend schließt das Paket drei Zero-Days, darunter eine öffentlich bekannte BitLocker-Schwachstelle sowie eine kritische HTTP.sys-Lücke mit CVSS 9.8.

Die Schwachstelle im Detail

CVE-2026-45648 ist ein Stack-based Buffer Overflow in den Active Directory Domain Services. Ein authentifizierter Angreifer kann die Lücke über das Netzwerk ausnutzen, ohne physischen Zugang zum System zu benötigen. Im Erfolgsfall gelingt die Remote Code Execution auf dem betroffenen Domain Controller – mit potenziell systemweiten Folgen für die gesamte Active-Directory-Infrastruktur.

Weitere schwerwiegende Schwachstellen aus dem Juni-Paket im Überblick:

  • CVE-2026-47291: Remote Code Execution in HTTP.sys über das HTTP/2-Protokoll, CVSS 9.8 – ein unauthentifizierter Angreifer kann diese Lücke aus der Ferne ausnutzen.
  • CVE-2026-49160: Weitere HTTP.sys-Schwachstelle im HTTP/2-Stack (Zero-Day).
  • CVE-2026-50507: BitLocker Security Feature Bypass, CVSS 6.8, öffentlich bekannt – ermöglicht das Umgehen des Festplattenverschlüsselungsschutzes.

Die Kategorie „Elevation of Privilege" dominiert den Juni-Patchday mit 65 Patches (32 % aller geschlossenen Lücken). Insgesamt adressiert Microsoft 198 CVEs, davon 32 kritisch und 166 als wichtig eingestuft.

Bin ich betroffen?

CVE-2026-45648 betrifft ausschließlich Systeme, auf denen die Rolle Active Directory Domain Services installiert ist. Konkret betroffen sind:

ProduktPatch-KB
Windows Server 2022KB5094128
Windows Server 2025KB5094125

Administratoren können den Patch-Status auf einem Windows Server per PowerShell prüfen:

Get-HotFix -Id KB5094128
Get-HotFix -Id KB5094125

Ist kein Eintrag vorhanden, ist das System noch nicht gepatcht. Die HTTP.sys-Schwachstellen (CVE-2026-47291, CVE-2026-49160) betreffen alle aktuellen Windows-Systeme mit aktiviertem HTTP/2-Stack, der BitLocker-Bypass (CVE-2026-50507) alle Windows-Systeme mit BitLocker-Verschlüsselung. Wie die grundsätzliche Verwaltung von Windows-Updates über WSUS funktioniert, erläutert die Anleitung Windows Updates und WSUS einrichten auf s-edv.com.

Wie behebe ich das?

Microsoft stellt die Patches über Windows Update, Microsoft Update Catalog und WSUS bereit. Für Domain Controller gilt folgende Priorisierung:

  1. Sofort: KB5094128 für Windows Server 2022 und KB5094125 für Windows Server 2025 einspielen – diese Patches schließen CVE-2026-45648.
  2. Alle weiteren Server und Clients zeitnah über Windows Update oder WSUS aktualisieren, um die HTTP.sys- und BitLocker-Lücken zu schließen.
  3. Nach dem Einspielen der Updates Domain Controller neu starten und Funktionalität der AD DS-Dienste prüfen.

Ein temporäres Workaround für CVE-2026-45648 ohne Patch steht nach aktuellem Stand nicht zur Verfügung. Netzwerkseitige Filtermaßnahmen können das Risiko begrenzen, ersetzen jedoch keinen Patch. Grundlegende Absicherungsmaßnahmen für Active-Directory-Umgebungen beschreibt die Anleitung Active Directory einrichten und Benutzer verwalten.

Was bedeutet das für Unternehmen?

Remote Code Execution auf einem Domain Controller ist das kritischste Angriffsszenario in Active-Directory-Umgebungen: Gelingt einem Angreifer die Codeausführung auf dem DC, kann er die gesamte Active-Directory-Infrastruktur kompromittieren – inklusive sämtlicher Konten, Gruppenrichtlinien und angebundener Systeme. Für DACH-Unternehmensumgebungen, in denen Active Directory die zentrale Identitäts- und Authentifizierungsinfrastruktur bildet, ist CVE-2026-45648 daher als höchste Priorität zu behandeln.

Erschwerend kommt hinzu, dass der Angriff lediglich eine Authentifizierung voraussetzt – kein Domänen-Administrator-Konto und keine physische Präsenz. In Umgebungen mit kompromittierten Nutzerkonten oder schwachen Passwortrichtlinien erhöht sich das Risiko erheblich. Die Kombination mit CVE-2026-47291 (unauthentifizierte HTTP.sys-RCE, CVSS 9.8) macht den Juni-2026-Patchday zu einem der kritischsten seit Jahresbeginn.

Sicherheitsverantwortliche sollten zudem den Rollout-Prozess für Notfall-Patches prüfen und sicherstellen, dass Domain Controller in der WSUS-Priorisierung bevorzugt behandelt werden. Wie Gruppenrichtlinien gezielt für die Härtung eingesetzt werden können, zeigt die Anleitung Gruppenrichtlinien (GPO) – Grundlagen und Praxis.

Quellen: Tenable: Microsoft's June 2026 Patch Tuesday – 198 CVEs | Rapid7: Microsoft Windows CVE-2026-45648 | Cisco Talos: Microsoft Patch Tuesday for June 2026

Verwandt

Weiter lesen

Alle Artikel →
Secure Boot 2023 Hero zur Umstellung von UEFI-Zertifikaten auf Windows-Server-VMs unter VMware
10.06.2026 ·11 min

Secure Boot 2023: UEFI-Zertifikate auf Windows-Server-VMs unter VMware umstellen

Microsofts Secure-Boot-Zertifikate von 2011 laufen ab Juni 2026 aus. Auf VMware-VMs musst du die 2023er-Zertifikate selbst einspielen – fast immer inklusive Platform-Key-Enrollment. Das praxiserprobte Verfahren mit PowerShell, Event-IDs und allen Stolpersteinen.
Illustration einer kritischen Microsoft-Exchange-Sicherheitslücke mit OWA-Oberfläche, XSS-Warnsymbolen, roter Alarmmarkierung und Hinweis auf aktive Ausnutzung ohne dauerhaften Patch bis zum Juni-Patchday.
09.06.2026 ·4 min

Microsoft Exchange CVE-2026-42897: OWA-XSS-Zero-Day aktiv ausgenutzt – kein dauerhafter Patch bis Juni Patchday

Microsoft Exchange OWA Zero-Day CVE-2026-42897 (CVSS 8.1): Eine XSS-Lücke ermöglicht Session-Token-Diebstahl ohne Serverzugriff. Betroffen sind Exchange Server 2016, 2019 und SE On-Premises. Ein dauerhafter Patch steht erst zum Juni Patchday bereit.
Gebrochenes digitales Schloss symbolisiert BitLocker-Sicherheitslücke YellowKey
05.06.2026 ·4 min

Windows-BitLocker-Zero-Day CVE-2026-45585 (YellowKey): Out-of-Band-Patch verfügbar, belgische Behörde warnt vor aktiver Nutzung

Die BitLocker-Schwachstelle CVE-2026-45585 (YellowKey) erlaubt physischen Zugriff auf verschlüsselte Windows-Laufwerke über die Windows Recovery Environment. Nach einem PoC-Exploit warnte das Centre for Cybersecurity Belgium vor aktiver Ausnutzung – Microsoft lieferte bereits einen Notfall-Patch.