Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Windows & Microsoft 365 11.06.2026 · 4 min Lesezeit

Microsoft Patchday Juni 2026: Rekord mit 208 CVEs und aktiv ausgenutztem Defender-Zero-Day

Microsofts Juni-Patchday 2026 schließt 208 Sicherheitslücken – ein neuer Monatsrekord. Darunter ein aktiv ausgenutzter Zero-Day in Microsoft Defender sowie eine wurmfähige Kernel-Lücke mit CVSS 9,8. Sofortiges Handeln ist erforderlich.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Grafik zum Microsoft Patchday im Juni 2026 mit einem Rekord von 208 geschlossenen CVEs sowie einer bereits aktiv ausgenutzten Zero-Day-Schwachstelle in Microsoft Defender.

Am 9. Juni 2026 veröffentlichte Microsoft seinen bisher umfangreichsten Patchday überhaupt: 208 CVEs wurden in einem einzigen Update-Zyklus geschlossen – ein neuer Monatsrekord seit 2017, als der bisherige Höchststand bei 177 CVEs lag. Besonders alarmierend ist ein aktiv in freier Wildbahn ausgenutzter Zero-Day in Microsoft Defender sowie mehrere kritische Lücken mit CVSS-Werten von 9,8 und 10,0. Administratoren sind dringend aufgefordert, verfügbare Updates unverzüglich einzuspielen.

Die Schwachstellen im Überblick

Von den 208 gepatchten CVEs stuft Microsoft 38 als „Critical" ein, davon entfallen 28 auf Remote Code Execution. Die folgende Tabelle zeigt die kritischsten Schwachstellen dieses Patchdays:

CVEKomponenteTypCVSSStatus
CVE-2026-41091Microsoft DefenderElevation of PrivilegeAktiv ausgenutzt
CVE-2026-42897Exchange Server (OWA)Spoofing / XSSÖffentlich bekannt
CVE-2026-45657Windows Kernel (TCP/IP)Remote Code Execution9,8Wurmfähig
CVE-2026-47291HTTP.sysRemote Code Execution9,8Unauthentifiziert
CVE-2026-48567Azure HorizonDBElevation of Privilege10,0

CVE-2026-41091 (Microsoft Defender): Diese Elevation-of-Privilege-Schwachstelle wird nach Microsofts Angaben bereits aktiv ausgenutzt. Angreifer können damit ihre Rechte auf SYSTEM-Niveau eskalieren – eine vollständige Kompromittierung des betroffenen Systems ist möglich.

CVE-2026-42897 (Exchange Server OWA): Die Lücke im Outlook Web Access war bei Veröffentlichung der Patches bereits öffentlich bekannt. Sie erlaubt die Ausführung beliebigen JavaScripts im Browser-Kontext von OWA-Nutzern und öffnet damit Tür und Tor für Session-Hijacking und Credential-Diebstahl.

CVE-2026-45657 (Windows Kernel TCP/IP): Mit einem CVSS-Score von 9,8 und dem Attribut „wurmfähig" zählt diese Lücke zu den gefährlichsten des Monats. Ein unauthentifizierter Angreifer kann über das Netzwerk beliebigen Code im Kernel-Kontext ausführen und sich potenziell lateral durch gesamte Netzwerksegmente bewegen – ganz ohne Benutzerinteraktion.

CVE-2026-47291 (HTTP.sys): Ebenfalls mit CVSS 9,8 bewertet, ermöglicht diese Schwachstelle unauthentifizierte Remote Code Execution über HTTP.sys, die Kernkomponente des Windows-Webservers.

CVE-2026-48567 (Azure HorizonDB): Die einzige Lücke mit dem Maximalwert CVSS 10,0 betrifft Azure HorizonDB und erlaubt Privilege Escalation in der Cloud-Infrastruktur.

Microsoft führt den drastischen Anstieg der CVE-Zahlen unter anderem auf den verstärkten Einsatz von KI-gestützten Tools bei der internen Schwachstellenfindung zurück.

Bin ich betroffen?

Die Patches betreffen ein breites Spektrum an Microsoft-Produkten. Folgende Systeme und Versionen sind direkt adressiert:

  1. Windows 10 und Windows 11 (alle unterstützten Versionen)
  2. Windows Server (alle unterstützten Versionen)
  3. Microsoft Exchange Server
  4. Microsoft Defender (auf allen Windows-Systemen aktiv)
  5. Azure (inkl. HorizonDB)
  6. Microsoft Office
  7. HTTP.sys (Bestandteil aller Windows-Versionen)
  8. Hyper-V, Remote Desktop Services, Visual Studio Code

Jedes Windows-System, das noch keinen Juni-2026-Patch eingespielt hat, ist potenziell durch die wurmfähige TCP/IP-Lücke CVE-2026-45657 gefährdet – ohne dass eine Benutzerinteraktion oder Authentifizierung erforderlich wäre. Gleiches gilt für alle Umgebungen, in denen Microsoft Defender aktiv ist und CVE-2026-41091 noch nicht geschlossen wurde.

Den Patch-Status von Windows-Systemen in einer Domäne lässt sich mit WSUS, Microsoft Intune oder dem Windows Update-Dienst prüfen. Wie die zentrale Verteilung von Windows-Updates über WSUS funktioniert, erläutert die Anleitung Windows Updates mit WSUS und Update for Business verwalten.

Wie behebe ich das?

Microsoft stellt die Patches über Windows Update, Microsoft Update Catalog und WSUS bereit. Die empfohlene Priorisierung lautet:

  1. Sofort: CVE-2026-41091 – Defender-Zero-Day, aktiv ausgenutzt. Windows Update auf allen Endpunkten und Servern ausführen.
  2. Dringend: CVE-2026-45657 – Wurmfähige Kernel-Lücke. Alle netzwerkexponierten Windows-Systeme zuerst patchen.
  3. Hoch: CVE-2026-42897 – Exchange-OWA-Lücke. Exchange-Server priorisiert aktualisieren; gegebenenfalls OWA temporär deaktivieren, bis der Patch eingespielt ist.
  4. Hoch: CVE-2026-47291 – HTTP.sys RCE. Alle Windows-Systeme mit aktivem IIS oder HTTP.sys-Nutzung patchen.

Für Exchange Server stehen kumulative Updates (CUs) im Microsoft Download Center bereit. Administratoren sollten vor dem Einspielen in Produktivumgebungen eine Sicherung erstellen. Die Grundlagen zur Absicherung von Microsoft Defender for Office 365 beschreibt die Anleitung Microsoft Defender for Office 365: Phishing-Schutz einrichten.

Bis Patches eingespielt sind, empfiehlt sich als vorübergehende Maßnahme die Segmentierung netzwerkexponierter Systeme sowie die Überwachung auf ungewöhnliche Privilege-Escalation-Ereignisse (Windows Event ID 4672, 4624).

Was bedeutet das für Unternehmen?

Der Juni-2026-Patchday stellt IT-Abteilungen vor den größten Patch-Aufwand seit Jahren. Die Kombination aus einem aktiv ausgenutzten Zero-Day, einer wurmfähigen Netzwerklücke und einem öffentlich bekannten Exchange-Exploit erzeugt erheblichen Handlungsdruck.

Besonders kritisch: Der Defender-Zero-Day CVE-2026-41091 betrifft nahezu jede Windows-Umgebung – er ist nicht auf bestimmte Editionen oder Konfigurationen beschränkt. Da Angreifer die Lücke bereits aktiv ausnutzen, ist die Wahrscheinlichkeit hoch, dass Exploit-Code breit verfügbar ist. Jede Verzögerung beim Patchen erhöht das Angriffsrisiko direkt.

Die wurmfähige Kernel-Lücke CVE-2026-45657 ist besonders für Unternehmen mit flachen Netzwerktopologien gefährlich: Ein einziger kompromittierter Einstiegspunkt kann ausreichen, um sich lateral durch das gesamte interne Netz zu bewegen. Netzwerksegmentierung gewinnt hier an Bedeutung.

Exchange-Server mit aktivem OWA-Zugang sollten bis zur Bereitstellung des Patches intensiv überwacht werden. Die CVSS-10,0-Lücke in Azure HorizonDB sollte von Cloud-Verantwortlichen ebenfalls geprüft werden, auch wenn Microsoft hier in der Regel automatische Patches in der Cloud-Infrastruktur ausrollt.

Der von Microsoft genannte Einsatz von KI-Tools zur Schwachstellenfindung als Mitursache des Rekords deutet darauf hin, dass künftige Patchdays ähnlich umfangreich ausfallen könnten. Unternehmen sollten ihre Patch-Management-Prozesse entsprechend anpassen. Weiterführende Informationen zur Einführung von Mehr-Faktor-Authentifizierung als zusätzliche Schutzmaßnahme bietet die Anleitung Zwei-Faktor-Authentifizierung (2FA/MFA) einführen.

Quellen: BleepingComputer: Microsoft June 2026 Patch Tuesday fixes 6 zero-days, 200 flaws | Zero Day Initiative: The June 2026 Security Update Review | SecurityAffairs: Microsoft Releases Record-Breaking Patch Tuesday With 208 CVEs

Verwandt

Weiter lesen

Alle Artikel →
Gebrochenes Sicherheitsschild mit roten Warnsignalen – Symbol für den Microsoft Patchday Juni 2026
11.06.2026 ·4 min

Microsoft Defender: Ungepatchter „RoguePlanet"-Zero-Day gewährt SYSTEM-Rechte auf Windows 10/11

Sicherheitsforscher „Nightmare Eclipse" veröffentlichte am Juni-Patchday einen funktionierenden Exploit für eine ungepatchte Race-Condition in Microsoft Defender. Der Exploit öffnet eine SYSTEM-Shell auf vollständig gepatchten Windows-10/11-Systemen – kein Patch verfügbar.
Symbolbild: Unveränderliche Cloud-Backups schützen Microsoft-365-Daten vor Ransomware
10.06.2026 ·4 min

Microsoft Patchday Juni 2026: 198 CVEs, 32 kritisch, drei Zero-Days und wormbare Kernel-Lücke

Microsofts umfangreichster Patchday des Jahres adressiert 198 CVEs – darunter eine wormbare Windows-Kernel-Lücke mit CVSS 9.8, eine ebenso kritische HTTP.sys-Schwachstelle sowie drei öffentlich bekannte Zero-Days. IT-Abteilungen stehen unter höchstem Handlungsdruck.
Sicherheitsschild vor Serverrack symbolisiert kritisches Patch-Update mit Deadline
09.06.2026 ·4 min

Microsoft Patch Tuesday Juni 2026: Secure-Boot-Deadline und Exchange-Zero-Day im Fokus

Der Patch Tuesday Juni 2026 steht unter doppeltem Zeitdruck: Secure-Boot-Zertifikatsupdates müssen bis 26. Juni eingespielt sein, sonst drohen Boot-Fehler. Zudem enthält das Paket den dauerhaften Patch für Exchange-Zero-Day CVE-2026-42897 (CVSS 8.1, aktiv ausgenutzt seit Mai).