Mastodon Mastodon Mastodon Mastodon

Microsoft Patch Tuesday Juni 2026 mit kritischen RCE- und BitLocker-Lücken

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Der Patch Tuesday im Juni 2026 fiel rekordverdächtig umfangreich aus: Microsoft hat 206 Schwachstellen in seinen Produkten behoben, von denen 39 den Status Critical und 167 den Status Important erhalten haben. Unter den Korrekturen befinden sich drei öffentlich offengelegte Zero-Day-Lücken (CVE-2026-50507, CVE-2026-49160, CVE-2026-45586) sowie gleich drei kritische Schwachstellen für Remote Code Execution mit der maximalen CVSS-Bewertung 9.8, die weder Authentifizierung noch Benutzerinteraktion erfordern. Administratoren von Windows-Infrastrukturen müssen die Installation der Updates priorisieren, insbesondere auf Systemen mit DHCP-Services, IIS-Webservern und Domänencontrollern.

Kritische Schwachstellen für Remote Code Execution

Die gefährlichste Schwachstelle dieses Releases ist CVE-2026-45657 (CVSS 9.8) – ein use-after-free-Fehler im Windows-Kernel. Ein Angreifer kann speziell präparierten Netzwerktraffic an ein verwundbares System senden und dabei die fehlerhafte Verarbeitung von TCP/IP-Daten im Kernel ausnutzen. Eine erfolgreiche Ausnutzung führt zur Ausführung beliebigen Codes mit SYSTEM-Rechten, ohne dass eine Authentifizierung oder irgendeine Benutzerinteraktion erforderlich wäre.

Zwei weitere kritische Schwachstellen betreffen zentrale Netzwerkkomponenten von Windows:

  • CVE-2026-47291 (CVSS 9.8) – ein Integer Overflow in Windows HTTP.sys, der einem nicht authentifizierten Angreifer erlaubt, Code aus der Ferne über das Netzwerk auszuführen.
  • CVE-2026-44815 (CVSS 9.8) – ein Stack-basiertes Buffer Overflow in Windows DHCP Client, das ebenfalls zu Remote Code Execution ohne Authentifizierung führt.

Die Schwachstelle im DHCP-Client verdient besondere Aufmerksamkeit: Nach Angaben der Analysten von Action1 sind für ihre Ausnutzung weder Anmeldedaten noch Handlungen des Benutzers erforderlich – ausreichend ist das Senden speziell präparierten Netzwerktraffics an ein System, das DHCP-Services verwendet. Da DHCP eine grundlegende Netzwerkfunktion ist, kann eine erfolgreiche Ausnutzung zur Kompromittierung des Servers, zur Verteilung von Malware, zum Diebstahl von Daten und zu lateralen Bewegungen innerhalb des Netzwerks führen.

Drei öffentlich offengelegte Zero-Day-Schwachstellen

Microsoft hat bestätigt, dass drei Schwachstellen bereits vor Veröffentlichung der Patches öffentlich offengelegt wurden:

  • CVE-2026-50507 (CVSS 6.8) – Umgehung des Schutzes von BitLocker Device Encryption. Nach Einschätzung des Forschers Will Dormann steht diese Schwachstelle vermutlich mit einer Umgehungstechnik des Verschlüsselungsschutzes in Zusammenhang, die in der Community als bitskrieg bekannt ist und vollständigen Zugriff auf verschlüsselte Daten ermöglicht. Für die Ausnutzung ist physischer Zugriff auf das Gerät erforderlich.
  • CVE-2026-49160 (CVSS 7.5) – eine Denial-of-Service-Schwachstelle in HTTP.sys, die mit der Angriffstechnik HTTP2/Bomb verbunden ist. Nach Angaben der Forscher von Calif verbrauchte der IIS-Server während der Tests rund 64 GB RAM in etwa 45 Sekunden.
  • CVE-2026-45586 (CVSS 7.8) – Privilegienerweiterung im Windows Collaborative Translation Framework (CTFMON).

Wichtig ist zu betonen: Keine dieser Schwachstellen ist derzeit im CISA-KEV-Katalog aufgeführt, und Microsoft berichtet nicht über bestätigte Ausnutzungen in realen Angriffen. Das Vorhandensein öffentlicher PoC-Exploits erhöht jedoch die Wahrscheinlichkeit, dass sie in naher Zukunft von Angreifern eingesetzt werden, erheblich.

BitLocker-Umgehungen und neue Mitigation für HTTP/2

Neben CVE-2026-50507 hat Microsoft weitere Schwachstellen zur Umgehung von Schutzmechanismen im Zusammenhang mit BitLocker behoben:

  • CVE-2026-45585 (CVSS 6.8) – eine Umgehung von BitLocker, für die ein öffentlicher PoC-Exploit existiert.
  • CVE-2026-45658 (CVSS 7.8) und CVE-2026-45655 (CVSS 5.3) – zusätzliche Umgehungen der BitLocker-Verschlüsselung.

Alle BitLocker-Schwachstellen setzen physischen Zugriff auf das Zielgerät voraus, was den Kreis potenzieller Angreifer einschränkt, sie aber für Organisationen, die mit vertraulichen Daten auf mobilen Geräten arbeiten, dennoch kritisch macht.

Zur Abwehr von HTTP2/Bomb-Angriffen hat Microsoft einen neuen Registrierungseintrag MaxHeadersCount eingeführt, der die Anzahl der Header in HTTP/2- und HTTP/3-Anfragen begrenzt. Dies hilft, Server vor übermäßigem Verbrauch von Speicher- und Prozessorressourcen zu schützen.

Behebung der sechs Jahre alten MiniPlasma-Schwachstelle

Besondere Beachtung verdient das Update für CVE-2020-17103 – eine Schwachstelle, die ursprünglich im Dezember 2020 behoben wurde. Microsoft hat eingeräumt, dass der frühere Patch unvollständig war, und empfiehlt die Installation der Juni-Updates 2026, um das Problem, das öffentlich als MiniPlasma bekannt ist, vollständig zu beseitigen.

Gesamtbild: Verteilung nach Typen

Von den 206 Schwachstellen verteilen sich die Typen wie folgt: 63 – Privilegienerweiterung, 56 – Remote Code Execution, 30 – Informationsoffenlegung, 27 – Spoofing, 20 – Umgehung von Schutzmechanismen, 7 – Denial of Service, 3 – Datenmanipulation. Zusätzlich enthält der Release zwei CVEs für Drittkomponenten: CVE-2025-10263 (Privilegienerweiterung im Windows-Kernel) und CVE-2026-8863 (Umgehung von UEFI Secure Boot).

Empfehlungen zur Priorisierung

Angesichts des Umfangs und der Kritikalität dieses Releases wird folgende Vorgehensweise empfohlen:

  1. Sofort – Systeme patchen, die DHCP-Traffic verarbeiten, IIS-Webserver und aus dem Netzwerk erreichbare Systeme, um CVE-2026-45657, CVE-2026-47291 und CVE-2026-44815 (alle CVSS 9.8) zu beheben.
  2. Innerhalb von 24–48 Stunden – Updates für die öffentlich offengelegten Zero-Days anwenden: CVE-2026-50507, CVE-2026-49160 und CVE-2026-45586, für die PoC-Exploits existieren.
  3. Für IIS-Server – den Registrierungseintrag MaxHeadersCount konfigurieren, um die Anzahl der HTTP/2- und HTTP/3-Header als zusätzliche Schutzmaßnahme gegen Angriffe auf HTTP.sys zu begrenzen.
  4. Für mobile Geräte – Systeme mit BitLocker aktualisieren, um die Verschlüsselungsumgehungen zu beseitigen, insbesondere auf Laptops von Mitarbeitern im Remote-Betrieb.
  5. Sicherstellen, dass das Update für CVE-2020-17103 (MiniPlasma) installiert ist, selbst wenn der vorherige Patch aus dem Jahr 2020 bereits angewendet wurde.

Der rekordverdächtige Umfang des Patch Tuesday im Juni – 206 Schwachstellen, von denen drei bereits öffentlich mit verfügbaren PoC-Exploits offengelegt sind – erfordert von Sicherheitsteams einen beschleunigten Test- und Rollout-Zyklus für Updates. Drei Schwachstellen mit CVSS 9.8, die über Netzwerktraffic ohne Authentifizierung ausgenutzt werden können, stellen ein reales Risiko massenhafter Kompromittierungen für Organisationen dar, die das Patchen aufschieben. Beginnen Sie mit den Netzwerkkomponenten – dem Windows-Kernel, HTTP.sys und dem DHCP-Client – und konfigurieren Sie den Parameter MaxHeadersCount auf allen IIS-Servern, bevor der vollständige Update-Zyklus abgeschlossen ist.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen