Microsoft hat am 9. Juni 2026 seinen monatlichen Patch Tuesday veröffentlicht und dabei 204 Sicherheitslücken in einem einzigen Update-Zyklus geschlossen. Damit bricht das Unternehmen seinen eigenen Rekord aus dem April 2026 (167 Schwachstellen) und stellt den historisch größten Patch Tuesday seit Einführung des Programms im Oktober 2003 auf. Für IT-Administratoren in Deutschland, Österreich und der Schweiz ergibt sich daraus dringender Handlungsbedarf, insbesondere wegen drei öffentlich bekannter Zero-Days und einer Windows-Kernel-Schwachstelle mit CVSS-Score 9.8.
Rekordmonat: 204 Sicherheitslücken in einem einzigen Update-Zyklus
Die genaue Zahl der im Juni 2026 behobenen Schwachstellen variiert je nach Zählmethode und Anbieter. Das deutsche Sicherheitsportal All-about-Security berichtet von 204 Schwachstellen. CyberScoop zählt 206, das Trend Micro Zero Day Initiative (ZDI) Team kommt auf 208, während Tenable nach eigener Klassifikation 198 Lücken ausweist. Einigkeit herrscht bei der Kernaussage: Es handelt sich um das größte Patch Tuesday in der 23-jährigen Geschichte des Programms.
Die Verteilung der Schwachstellentypen zeigt, wie breit das Angriffsspektrum im Juni ausfiel. Mit 65 Privilege-Escalation-Lücken (EoP) und 55 Remote-Code-Execution-Schwachstellen (RCE) stehen fast 60 Prozent aller behobenen Lücken für die gefährlichsten Angriffskategorien. RCE-Lücken erlauben Angreifern, eigenen Code auf fremden Systemen auszuführen. EoP-Schwachstellen ermöglichen es, bereits erlangten Zugang auf höhere Rechte auszuweiten. Zusammen bilden sie die klassische Angriffskette: Einbruch per RCE, Rechteausweitung per EoP.
| Schwachstellentyp | Anzahl | Anteil | Gefährdungsstufe |
|---|---|---|---|
| Privilege Escalation (EoP) | 65 | 32 % | Hoch |
| Remote Code Execution (RCE) | 55 | 27 % | Kritisch |
| Information Disclosure | 30 | 15 % | Mittel |
| Spoofing | 27 | 13 % | Mittel bis Hoch |
| Security Feature Bypass | 19 | 9 % | Hoch |
| Denial of Service (DoS) | 7 | 3 % | Mittel |
| Gesamt | 204 | 100 % |
Besonders bemerkenswert: Allein bei Browser-Schwachstellen, die im Rahmen des Juni-Zyklus mitverarbeitet wurden, lieferte Microsoft Patches für 360 weitere Lücken. Adam Barnett von Rapid7 kommentiert: “Allein in diesem Monat stellt Microsoft Patches für 360 Browser-Schwachstellen bereit, was in einer Größenordnung liegt, die weit über dem typischen Durchschnitt der vergangenen Jahre liegt.”
Historischer Vergleich: Das größte Patch Tuesday seit 2003
Microsoft startete das Patch-Tuesday-Programm im Oktober 2003 als Antwort auf chaotische, ungeplante Sicherheitsupdates der frühen Windows-XP-Ära. Seitdem werden Patches gebündelt am zweiten Dienstag eines jeden Monats veröffentlicht. Der bisherige Monatsrekord lag im April 2026 bei 167 Schwachstellen, was damals bereits als außergewöhnlich galt.
Dustin Childs vom Trend Micro Zero Day Initiative-Team ordnet die Entwicklung ein: “Die Anzahl der CVEs, die Microsoft im laufenden Jahr veröffentlicht hat, übersteigt bereits die Gesamtzahl aus dem gesamten Jahr 2018.” Im Volljahreszeitraum 2024 schloss Microsoft insgesamt 1.009 Schwachstellen. Mit bereits über 500 CVEs bis Ende Mai 2026 liegt das Unternehmen auf Kurs, diesen Wert deutlich zu übertreffen.
| Zeitraum | Schwachstellen | Kritisch | Bemerkung |
|---|---|---|---|
| Juni 2026 | 204+ | 38 | Historischer Rekord (größtes Patch Tuesday seit 2003) |
| April 2026 | 167 | k. A. | Bisheriger Monatshöchstwert |
| Januar bis Mai 2026 | 500+ | k. A. | In 5 Monaten bereits mehr als halbe Jahresdosis 2024 |
| Gesamtes Jahr 2024 | 1.009 | k. A. | Bis dato Jahresrekord |
| Jahr 2018 (gesamt) | Weniger als 700 (Schätzung) | k. A. | Laut Trend Micro ZDI bereits im Juni 2026 übertroffen |
| Oktober 2003 | Programmstart | n. A. | Erster offizieller Patch Tuesday überhaupt |
Satnam Narang von Tenable beschreibt die strukturelle Ursache: “Diese Schwachstellenflut ist kein Einzelereignis. Microsoft patcht bereits seit Monaten in einer Geschwindigkeit, die alle bisherigen Jahrgänge übertrifft.” Im Kontext der gesamten Softwarebranche liegt 2026 auf Kurs für das Rekordjahr in der Geschichte moderner Betriebssysteme, gemessen an der schieren Zahl der Verwundbarkeiten.
Die drei Zero-Days: Was sofort gepatcht werden muss
Im Juni-Patch-Tuesday hat Microsoft drei öffentlich bekannte Zero-Day-Schwachstellen geschlossen. Zero-Days sind Lücken, für die vor dem Patch bereits öffentliche Informationen oder Exploits vorlagen. Das bedeutet: Angreifer wussten von diesen Lücken, bevor Administratoren sie schließen konnten.
- CVE-2026-45586 (Windows Collaborative Translation Framework, CTF): Eine Privilege-Escalation-Lücke im CTF-Subsystem von Windows. Angreifer mit lokalem Zugang können ihre Rechte auf SYSTEM-Ebene anheben. Die Lücke war vor dem Patch öffentlich bekannt, aber es lagen keine Nachweise aktiver Ausnutzung vor.
- CVE-2026-49160 (HTTP.sys, Denial of Service): Eine DoS-Schwachstelle im Windows-Kerneltreiber HTTP.sys, der unter anderem IIS und andere HTTP-Server nutzen. Angreifer können betroffene Server zum Absturz bringen, ohne sich authentifizieren zu müssen.
- CVE-2026-50507 (BitLocker, Security Feature Bypass): Bekannt unter dem Namen “YellowKey”. Diese Lücke erlaubt es Angreifern mit physischem Zugang zum Gerät, den BitLocker-Schutz zu umgehen. Betroffen sind Systeme, die ausschließlich TPM-only-Authentifizierung ohne PIN verwenden.
Zusätzlich hatte Microsoft bereits am 19. Mai 2026 einen außerplanmäßigen Patch für CVE-2026-41091 (Microsoft Defender) veröffentlicht. Diese Lücke wurde aktiv ausgenutzt und galt daher als zu dringlich, um bis zum regulären Patch Tuesday zu warten.
CVE-2026-45657: Windows-Kernel-RCE mit Wurmpotenzial
Die gefährlichste Schwachstelle im Juni-Zyklus ist CVE-2026-45657: eine Remote-Code-Execution-Lücke im Windows-Kernel mit einem CVSS-Score von 9.8. Sicherheitsforscher beschreiben die Lücke als “wormable-class”, was bedeutet, dass sie sich potenziell selbst von System zu System verbreiten kann, ohne Benutzerinteraktion zu erfordern.
CVE-2026-45657 erfüllt drei Kriterien, die eine Schwachstelle besonders gefährlich machen: keine notwendige Authentifizierung, keine erforderliche Benutzerinteraktion und Netzwerkzugänglichkeit ohne vorherigen Zugang zum System. Dieser Typ von Schwachstelle erinnert an EternalBlue (MS17-010), die Kernel-Lücke, die 2017 vom WannaCry-Ransomware-Wurm genutzt wurde, um sich in kürzester Zeit über hunderttausende Systeme zu verbreiten.
Für deutsche Unternehmen und KRITIS-Betreiber gilt: Systeme mit offenen TCP-Ports ins Internet müssen umgehend gepatcht werden. Netzwerksegmentierung allein reicht nicht, wenn laterale Bewegungen im internen Netz möglich sind. Patch-Verantwortliche sollten CVE-2026-45657 in ihrer Patch-Priorisierung auf Platz eins setzen.
Remote Desktop Client: Vier kritische RCE-Lücken
Der Remote Desktop Client (RDC) war im Juni 2026 mit 11 CVEs, darunter 4 kritischen, eines der am stärksten betroffenen Komponenten. Die kritischen Lücken CVE-2026-44801, CVE-2026-44799, CVE-2026-42992 und CVE-2026-42985 ermöglichen allesamt Remote Code Execution.
Das besondere Angriffsszenario: Ein Nutzer verbindet sich mit einem kompromittierten oder manipulierten RDP-Server. Der Server kann daraufhin den Client des Nutzers angreifen und Code auf dem Client-System ausführen. Dieses sogenannte “Client-side RCE”-Muster ist besonders heimtückisch, weil Administratoren intuitiv den Server als Angriffsziel sehen, nicht den Client.
Empfehlung für DACH-Unternehmen: Kein ungepatchter Windows-Client sollte sich mit externen RDP-Servern verbinden. Wer Windows-Fernwartung einsetzt, sollte ausschließlich VPN-gesichertes RDP mit Network Level Authentication (NLA) nutzen und sicherstellen, dass der Remote Desktop Client auf aktuellem Stand ist.
Exchange Server CVE-2026-42897: Aktiv ausgenutzt
CVE-2026-42897 betrifft Microsoft Exchange Server und gilt als dringlichster Patch für On-Premises-Exchange-Installationen. Die Schwachstelle ermöglicht Remote Code Execution auf betroffenen Exchange-Servern. Sicherheitsforscher haben bestätigt, dass diese Lücke bereits aktiv in freier Wildbahn ausgenutzt wird.
Exchange-Server sind in deutschen Unternehmen nach wie vor weit verbreitet. Obwohl Microsoft seit Jahren auf Exchange Online drängt, betreiben viele mittelständische Unternehmen und Behörden in Deutschland noch On-Premises-Exchange-Installationen. Für diese Organisationen ist CVE-2026-42897 besonders kritisch.
Sofortmaßnahmen: Administratoren sollten zunächst prüfen, ob der Exchange Emergency Mitigation Service (EEMS) aktiv und funktionsfähig ist. Microsoft nutzt EEMS, um kurzfristige Mitigationen einzuspielen, bevor ein vollständiger Patch verfügbar ist. Darüber hinaus sollten Nutzer vor unaufgeforderten E-Mails mit Office-Anhängen gewarnt werden, da CVE-2026-42897 über präparierte Dokumente ausgenutzt werden kann.
Hyper-V: Gast-zu-Host-Escape in Unternehmensumgebungen
Hyper-V, Microsofts Virtualisierungsplattform für Windows Server und Azure, ist im Juni 2026 von drei kritischen Lücken betroffen: CVE-2026-47652, CVE-2026-45641 und CVE-2026-45607. Alle drei sind als Out-of-Bounds-Read-Schwachstellen klassifiziert.
Das besondere Risiko bei Hypervisor-Lücken: Ein Angreifer, der Zugang zu einer virtuellen Maschine (Gast) hat, kann aus dem isolierten Gastsystem “ausbrechen” und auf den Host zugreifen. In Cloud- und Multi-Tenant-Umgebungen, wie sie in Azure und privaten Rechenzentren vorkommen, kann ein solcher Angriff zur vollständigen Kompromittierung der physischen Hardware und aller darauf laufenden VMs führen.
CVE-2026-45641 und CVE-2026-45607 tragen jeweils einen CVSS-Score von 8.4. Für Betreiber von On-Premises-Hyper-V-Clustern und Azure-Stack-Umgebungen ist sofortiger Patch-Einsatz Pflicht. Microsofts Azure selbst wird automatisch gepatcht, sodass Azure-PaaS-Dienste nicht manuell aktualisiert werden müssen. Eigene Azure Stack Edge-Geräte dagegen erfordern manuelle Aktualisierung.
HTTP.sys und DHCP: Unauthentifizierte Angriffe aus dem Netz
Zwei der gefährlichsten Schwachstellen im Juni-Zyklus betreffen Netzwerkdienste, die auf den meisten Windows-Servern aktiv sind. CVE-2026-47291 ist eine Remote-Code-Execution-Lücke in HTTP.sys mit einem CVSS-Score von 9.8. HTTP.sys ist der Kernel-Treiber, über den IIS und viele andere Windows-HTTP-Dienste laufen. Eine erfolgreiche Ausnutzung erfordert weder Authentifizierung noch Benutzerinteraktion.
Rapid7 und andere Sicherheitsforscher empfehlen, HTTP.sys-Patches als Notfall-Change zu behandeln, also außerhalb des regulären Wartungsfensters einzuspielen. Für Unternehmen, die IIS oder andere HTTP.sys-basierte Dienste im Internet exponieren, besteht unmittelbares Risiko.
Gleichzeitig betrifft der DHCP-Client eine weitere Schwachstelle, die Remote Code Execution ohne Authentifizierung ermöglicht. DHCP-Clients sind auf nahezu jedem Windows-Gerät aktiv. Angreifer, die sich im selben Netzwerksegment befinden (zum Beispiel nach einem initialen Einbruch), könnten über einen präparierten DHCP-Server Code auf allen Windows-Clients im Subnetz ausführen.
Office, Outlook und Word: Kritische RCE ohne Benutzerinteraktion
Microsoft Office-Produkte sind erneut ein Hauptangriffsziel. CVE-2026-45458, CVE-2026-45456 und CVE-2026-47635 ermöglichen Remote Code Execution in Office-Anwendungen, darunter Outlook und Word. Alle drei tragen einen CVSS-Score von 8.4.
Das Angriffsszenario ist klassisch und gleichzeitig besonders wirksam: Ein Nutzer öffnet ein präpariertes Office-Dokument oder erhält eine manipulierte E-Mail in Outlook. Ohne weiteres Zutun führt das Programm Schadcode aus. Dieser Angriffstyp eignet sich besonders für zielgerichtete Phishing-Kampagnen gegen Unternehmen und Behörden.
Deutsche Organisationen, die sensible Daten verarbeiten, sollten unverzüglich Office-Updates einspielen. Microsoft empfiehlt zusätzlich, “Protected View” für heruntergeladene und per E-Mail empfangene Dokumente zu aktivieren sowie Makros für alle nicht verifizierten Quellen zu deaktivieren. Diese Maßnahmen reduzieren die Angriffsfläche auch bei nicht sofort patchbaren Systemen.
BitLocker CVE-2026-50507: “YellowKey” umgeht Festplattenverschlüsselung
Die als “YellowKey” bezeichnete Schwachstelle CVE-2026-50507 ist einer der drei öffentlich bekannten Zero-Days im Juni-Paket. Sie betrifft BitLocker, Microsofts integrierte Festplattenverschlüsselung. Angreifer mit physischem Zugang zum Gerät können den BitLocker-Schutz umgehen und auf verschlüsselte Daten zugreifen, wenn das System ausschließlich TPM-only-Authentifizierung verwendet.
Betroffen sind insbesondere Laptops und mobile Geräte, die ohne Pre-Boot-PIN konfiguriert sind. Microsoft empfiehlt, BitLocker auf TPM+PIN umzustellen. Für Unternehmen mit Mobile-Device-Management-Lösungen wie Microsoft Intune ist diese Konfigurationsänderung über Richtlinien zentral ausrollbar.
Der praktische Impact für DACH-Unternehmen: Verlust oder Diebstahl eines Laptops mit BitLocker-TPM-only-Konfiguration könnte dazu führen, dass Dritte auf Unternehmensdaten zugreifen. Nach DSGVO stellt das eine meldepflichtige Datenpanne dar, sofern personenbezogene Daten auf dem Gerät gespeichert waren. Organisationen mit sensiblen Datenbeständen sollten die Konfiguration ihrer BitLocker-Deployments umgehend überprüfen.
Microsoft 365 Copilot: KI als neue Angriffsfläche
Erstmals tauchen im Juni-Patch-Tuesday auch KI-spezifische Schwachstellen auf. CVE-2026-45497 und CVE-2026-42824 betreffen Microsoft 365 Copilot und erlauben Command-Injection-Angriffe. Command Injection bedeutet, dass Angreifer über präparierte Eingaben eigene Befehle in die KI-Pipeline einschleusen können, was zur Datenexfiltration oder zur Manipulation von KI-Ausgaben führen kann.
Diese Schwachstellenkategorie ist grundlegend neu. Klassische Patch-Tuesday-Schwachstellen betreffen Betriebssystemkomponenten oder Anwendungen. KI-Pipelines sind komplexere Systeme mit eigenen Angriffsvektoren, insbesondere Prompt Injection und Command Injection. Die Integration von KI-Tools in Unternehmensworkflows erweitert die Angriffsfläche erheblich.
Satnam Narang von Tenable kommentiert die strukturelle Entwicklung: “Microsoft hat bereits in den ersten fünf Monaten des Jahres 2026 über 500 CVEs gepatcht. Die Aufnahme von KI-spezifischen Lücken in den Standard-Patch-Zyklus ist ein klares Zeichen dafür, dass diese Schwachstellenklasse kein Randthema mehr ist.”
Patch-Priorisierung für deutsche Unternehmen und KRITIS-Betreiber
Bei 204 Schwachstellen ist eine Priorisierung unumgänglich. Nicht jedes Unternehmen kann 204 Patches gleichzeitig und ohne Ausfallzeiten einspielen. Die folgende Reihenfolge orientiert sich an CVSS-Score, Ausnutzungsstatus und Angriffsfläche für typische deutsche Unternehmensumgebungen:
| Priorität | CVE | Produkt | Typ | CVSS | Besonderheit |
|---|---|---|---|---|---|
| 1 | CVE-2026-45657 | Windows Kernel | RCE | 9.8 | Wormable, kein Auth, kein User-Interact |
| 2 | CVE-2026-42897 | Exchange Server | RCE | 8.8 | Aktiv ausgenutzt in freier Wildbahn |
| 3 | CVE-2026-47291 | HTTP.sys | RCE | 9.8 | Unauthentifiziert, alle IIS-Server betroffen |
| 4 | CVE-2026-44801 / 44799 | Remote Desktop Client | RCE | 8.8 | Client-side: Angriff vom Server auf Client |
| 5 | CVE-2026-50507 | BitLocker | SFB | Mittel | Zero-Day (YellowKey), physischer Angriff möglich |
| 6 | CVE-2026-48567 | Azure HorizonDB | RCE | Kritisch | Azure Stack Edge: manuelle Aktualisierung nötig |
| 7 | CVE-2026-45607 / 45641 | Hyper-V | EoP | 8.4 | VM-Escape, On-Premises-Hyper-V-Cluster |
| 8 | CVE-2026-45458 / 45456 | Office/Outlook/Word | RCE | 8.4 | Phishing-Vektor, alle Office-Nutzer betroffen |
Für KRITIS-Betreiber in Deutschland gilt nach NIS2-Umsetzungsgesetz eine erhöhte Sorgfaltspflicht. Schwachstellen mit CVSS 9.0 und höher sollten innerhalb von 72 Stunden nach Patch-Verfügbarkeit geschlossen werden. Aktiv ausgenutzte Schwachstellen (CVE-2026-42897) erfordern sofortige Maßnahmen, unabhängig vom CVSS-Score. Das BSI empfiehlt, für solche kritischen Patches Notfall-Change-Prozesse zu etablieren, die das reguläre Genehmigungsverfahren umgehen können.
Auswirkungen auf NIS2-Compliance und DSGVO
Der Juni-Patch-Tuesday hat direkte Auswirkungen auf Compliance-Pflichten deutscher Unternehmen. NIS2, seit Oktober 2024 in deutsches Recht umgesetzt, verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen zu angemessenen technischen Sicherheitsmaßnahmen, einschließlich des zeitnahen Einspielens von Sicherheits-Updates.
Wer CVE-2026-42897 (aktiv ausgenutzt in Exchange Server) nicht innerhalb einer angemessenen Frist patcht und dadurch einen Datenschutzvorfall erleidet, riskiert Bußgelder nach NIS2 von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Hinzu kommt die DSGVO-Meldepflicht bei Datenschutzverletzungen innerhalb von 72 Stunden gegenüber der zuständigen Datenschutzaufsichtsbehörde.
Für den BitLocker-Zero-Day CVE-2026-50507 gilt: Falls ein Gerät mit der verwundbaren Konfiguration verloren geht oder gestohlen wird, ist ein Datenschutzvorfall nach Artikel 33 DSGVO wahrscheinlich meldepflichtig, sofern personenbezogene Daten auf dem Gerät gespeichert waren. Unternehmen sollten ihren Patch-Status dokumentieren, um im Falle einer Behördenprüfung nachweisen zu können, dass angemessene Maßnahmen ergriffen wurden.
SharePoint, Azure Kubernetes und Visual Studio Code
Neben den bereits genannten Hauptkomponenten sind weitere Microsoft-Produkte im Juni-Zyklus betroffen. CVE-2026-47634 und CVE-2026-45481 betreffen On-Premises-SharePoint-Server und sind als Spoofing-Schwachstellen eingestuft. Beide tragen einen CVSS-Score von 7.3. SharePoint-Administratoren, die lokale Installationen betreiben, sollten diese Patches ebenfalls zügig einspielen.
Azure Kubernetes Service (AKS) und Azure Stack Edge sind ebenfalls betroffen. Für AKS-Kunden übernimmt Microsoft das Patchen der Steuerungsebene automatisch. Worker Nodes müssen jedoch je nach Konfiguration manuell oder halbautomatisch aktualisiert werden. Kubernetes-Administratoren sollten ihre Node-Update-Strategie überprüfen und sicherstellen, dass kein Node auf einer verwundbaren Kernel-Version läuft.
Visual Studio Code ist ebenfalls im Patch-Paket enthalten. Für Entwicklerteams, die VS Code als primären Editor nutzen, empfiehlt sich eine zentrale Update-Richtlinie über Unternehmensrichtlinien oder MDM-Lösungen, da VS Code in vielen Unternehmen außerhalb des regulären Patch-Managements läuft und oft ohne IT-Aufsicht von Entwicklern selbst aktualisiert wird.
Prognosen: Wie sich Patch Tuesday 2026 weiterentwickelt
Auf Basis der aktuellen Datenlage lassen sich fünf konkrete Prognosen für die kommenden Monate formulieren:
- 2026 wird das Rekordjahr für Microsoft-Patches. Mit über 700 CVEs in den ersten sechs Monaten wird 2026 den bisherigen Jahresrekord von 1.009 CVEs (2024) bis Jahresende deutlich übertreffen. Ein Wert von 1.400 bis 1.600 CVEs für das Gesamtjahr erscheint realistisch.
- KI-spezifische Schwachstellen werden zur eigenständigen Patch-Kategorie. Die Copilot-Lücken im Juni-Zyklus sind ein Vorbote. Mit zunehmender KI-Integration in Windows, Office und Azure werden Prompt-Injection- und Command-Injection-Schwachstellen in künftigen Patch Tuesdays regelmäßig auftauchen.
- Hyper-V-Lücken werden zum bevorzugten Angriffsvektor für Cloud-Angriffe. VM-Escape-Schwachstellen sind technisch komplex, aber für staatliche Akteure und hochentwickelte Angreifergruppen attraktiv. Weitere Hyper-V-Lücken in Q3 und Q4 2026 sind wahrscheinlich.
- Das BSI wird Patch-Fristen für KRITIS-Betreiber konkretisieren. Die Kombination aus NIS2, KRITIS-Dachgesetz und der wachsenden Zahl kritischer Schwachstellen erhöht den regulatorischen Druck auf Behörden und kritische Infrastrukturbetreiber, spezifische SLAs für Patch-Einsatz schriftlich zu fixieren.
- Automatisiertes Patch-Management wird zum Pflichtstandard. Bei dieser Patchdichte ist manuelles Patch-Management für Unternehmen mit mehr als 50 Systemen nicht mehr praktikabel. Lösungen wie Windows Update for Business, Microsoft Intune oder Drittanbieter-Tools werden 2026 bis 2027 zum unverzichtbaren Standard für mittelständische Unternehmen.
Verwandte Berichte
Weiterführende Artikel auf shattered.io
- DACH: Cyberangriffe um 124 % gestiegen, 82 % treffen Deutschland
- BKA 2025: 333.922 Cyberfälle, 202 Milliarden Euro Schaden
- Cl0p hackt Oracle EBS: 29 Opfer, CVSS 9.8
- ENISA: Ransomware verursacht 81 % aller EU-Cyberangriffe
- NoName057(16): 14 DDoS-Wellen gegen Deutschland
FAQ: Microsoft Patch Tuesday Juni 2026
Wie viele Schwachstellen hat Microsoft im Juni 2026 gepatcht?
Microsoft hat am 9. Juni 2026 mindestens 204 Sicherheitslücken geschlossen. Je nach Zählmethode berichten verschiedene Sicherheitsanbieter Zahlen zwischen 198 und 208 CVEs. Alle Quellen bestätigen, dass es sich um das größte Patch Tuesday seit Programmstart 2003 handelt.
Welche Zero-Days enthält das Juni-2026-Patch-Paket?
Das Paket enthält drei öffentlich bekannte Zero-Days: CVE-2026-45586 (Windows CTF, Privilege Escalation), CVE-2026-49160 (HTTP.sys, Denial of Service) und CVE-2026-50507 (BitLocker “YellowKey”, Security Feature Bypass). Zusätzlich hatte Microsoft bereits am 19. Mai 2026 einen Notfallpatch für den aktiv ausgenutzten Zero-Day CVE-2026-41091 in Microsoft Defender veröffentlicht.
Welcher CVE hat die höchste Priorität für deutsche Unternehmen?
CVE-2026-45657 (Windows Kernel RCE, CVSS 9.8) hat die höchste Priorität, da die Lücke als wormable eingestuft wird und ohne Authentifizierung oder Benutzerinteraktion ausgenutzt werden kann. Direkt dahinter folgt CVE-2026-42897 (Exchange Server), weil diese Schwachstelle bereits aktiv in freier Wildbahn ausgenutzt wird.
Was müssen KRITIS-Betreiber jetzt tun?
KRITIS-Betreiber in Deutschland müssen unter NIS2 kritische Patches unverzüglich einspielen. Für Schwachstellen mit CVSS 9.0 und höher (CVE-2026-45657, CVE-2026-47291) gilt ein Notfall-Patch-Prozess. CVE-2026-42897 (aktiv ausgenutzt) erfordert sofortige Maßnahmen, unabhängig vom regulären Wartungsfenster. Das BSI-CERT empfiehlt die Einrichtung eines Notfall-Change-Prozesses für solche Fälle.
Wie schütze ich mich gegen CVE-2026-50507 (BitLocker)?
Sofortmaßnahme: BitLocker-Konfiguration von TPM-only auf TPM+PIN umstellen. Über Microsoft Intune oder Gruppenrichtlinien kann diese Änderung zentral ausgerollt werden. Bis der Patch eingespielt ist, reduziert TPM+PIN das Risiko eines physischen Angriffs erheblich. Geräte mit sensiblen Daten sollten bis zum Patch-Einsatz nicht ohne Aufsicht gelassen werden.
Gibt es einen offiziellen BSI-Hinweis zum Juni-Patch-Tuesday?
Das BSI veröffentlicht regelmäßig Sicherheitshinweise zu bedeutenden Schwachstellen. Für den Juni-2026-Zyklus mit seinen kritischen CVEs gibt das BSI-CERT entsprechende Warnmeldungen heraus. Organisationen sollten den BSI-Newsletter (CERT-Bund) abonnieren, um zeitnahe Informationen zu erhalten. Weiterführende technische Details zu einzelnen CVEs liefern die Blogs von Rapid7 und Tenable sowie das Trend Micro Zero Day Initiative-Team.
Wie kann ich prüfen, ob meine Systeme gepatcht sind?
Für Windows-Server und -Clients: Windows-Update-Verlauf prüfen, ob das Juni-2026-Kumulativupdate installiert ist. Alternativ können PowerShell-Befehle oder das Microsoft Security Compliance Toolkit eingesetzt werden. Für Exchange Server: Versionsnummer prüfen und mit Microsofts Exchange Build Numbers-Liste vergleichen. Für WSUS-Umgebungen: Patch-Compliance-Berichte aus WSUS oder dem eingesetzten Patch-Management-Tool abrufen.
