Microsoft schließt den Juni mit 200 Sicherheitskorrekturen und drei Zero-Days ab, darunter BitLocker-Umgehung und RCE im Windows-Kernel
Der Patch Tuesday vom 9. Juni bringt 200 Schwachstellen, 33 kritische und drei öffentlich bekannte Zero-Days sowie die CVE-2026-45657 mit einem CVSS von 9.8 im TCP/IP-Kernel von Windows.
Microsoft hat an diesem Dienstag (9.) das größte Sicherheitskorrekturenpaket des Jahres veröffentlicht, mit 200 geschlossenen Schwachstellen an einem einzigen Patch Tuesday, darunter drei zuvor öffentlich bekannt gewordene Zero-Days. Diese Zahl bricht den gleitenden Durchschnitt von Redmond und setzt die Patch-Teams in Unternehmen, die bereits an der Grenze arbeiten, sofort unter Druck, nachdem der Zyklus im Mai (120 CVEs) und April (134 CVEs) abgeschlossen wurde.
Die schwerwiegendste Schwachstelle des Pakets ist die CVE-2026-45657, eine Verwundbarkeit vom Typ Use-After-Free im Windows-Kernel mit einem CVSS von 9.8, die als kritisch eingestuft und aus der Ferne ohne Authentifizierung und Benutzerinteraktion ausnutzbar ist. Die Bedingung wird durch bösartige Netzwerkpakete geschaffen, die einen Fehler bei der Verarbeitung von TCP/IP-Daten verursachen, was die Ausführung von Code auf Systemeebene ermöglicht. Microsoft stuft die Wahrscheinlichkeit einer Ausnutzung als "weniger wahrscheinlich" ein, aber das Profil des Bugs, Netzwerk ohne Authentifizierung auf SYSTEM, ist genau das, was das Wochenende eines Blue Teams ruinieren kann. Die Patches werden in KB5094126 (Windows 11 24H2 und 25H2), KB5093998 (Windows 11 23H2), KB5094125 (Windows Server 2025) und KB5094128 (Windows Server 2022) bereitgestellt.
Die drei Zero-Days
Die CVE-2026-50507 ist eine Sicherheitsumgehung im BitLocker, die es einem Angreifer mit physischem Zugriff auf das Gerät ermöglicht, auf verschlüsselte Daten zuzugreifen. Der Vektor erfordert den physischen Besitz der Hardware, was das Risiko auf verlorene Firmenlaptops, an der Grenze beschlagnahmte Geräte und nicht ordnungsgemäß gereinigte außer Betrieb genommene Maschinen beschränkt. Für globale Flotten von Beratungsunternehmen und Banken mit international reisenden Mitarbeitern ist dies genau der Risikotyp, der in die Reise-Compliance für sensible Gebiete einfließt.
Die CVE-2026-45586 betrifft das Collaborative Translation Framework von Windows und eröffnet eine Berechtigungseskalation zu SYSTEM. Die CVE-2026-41091 im Microsoft Defender wurde bereits vor der offiziellen Bekanntgabe als aktiv ausgenutzt bestätigt. Der Fehler, von Forschern als RedSun bezeichnet, ist eine Link-Following-Schwachstelle im Microsoft Malware Protection Engine 1.1.26030.3008 und früheren Versionen, mit einem CVSS von 7.8. Microsoft hatte bereits die Engine 1.1.26040.8 ausgeführt, um das Problem im kontinuierlichen Update-Kanal des Defenders zu beheben, und die CISA hatte Patching bis zum 3. Juni für das FCEB angeordnet. Der konsolidierte Patch in diesem Dienstagspaket schließt das formelle Fenster für Kunden, die die Kontrolle über die Engine manuell verwalten.
Die Bilanz von 33 kritischen Schwachstellen
Von den 200 Korrekturen werden 33 von Microsoft als kritisch eingestuft. Innerhalb dieser Untergruppe sind 28 Remote-Code-Ausführungen, vier Berechtigungseskalationen und eine Informationsoffenlegung. Die Konzentration auf RCE liefert eine problematische Lesart für CISOs: Microsoft schließt eine hohe Anzahl an Türen, die, wenn sie ausgenutzt werden, Phishing oder laterale Bewegung überflüssig machen.
Die regionalen Lesarten variieren. In den Vereinigten Staaten zwingt die Binding Operational Directive 22-01 der CISA die Bundesbehörden, alles zu beheben, was auf der KEV-Liste steht, innerhalb fester Fristen, und die CVE-2026-41091 des Defenders war bereits auf der Liste. Bundesbehörden wenden das konsolidierte Paket parallel zum regulären Zeitplan an. In Europa sind unter dem NIS2, das seit dem zweiten Halbjahr 2024 in Kraft ist, Betreiber kritischer Dienste verpflichtet, innerhalb von bis zu 24 Stunden auf Vorfälle zu reagieren, die mit nicht in angemessener Frist behobenen Schwachstellen in Verbindung stehen, eine Metrik, die deutsche und französische Gerichte von Fall zu Fall kalibrieren. In Japan hat das METI im Februar den Leitfaden für Cybersicherheit für börsennotierte Unternehmen aktualisiert und explizit Windows-Kern-CVEs als Testszenerien für die Incident Response genannt.
Die Praxis, die sich nun ändert, ist nicht die Anwendung des Patches an sich. Was sich ändert, ist der Zeitrahmen zwischen Bekanntgabe und massenhafter Ausnutzung. Für die CVE-2026-45657, mit Netzwerkvektor und potenzieller Wurmfähigkeit, lag der historische Zeitraum bei ähnlichen Schwachstellen (PrintNightmare 2021, SMBGhost 2020) zwischen 48 Stunden und zwei Wochen vor dem ersten funktionalen öffentlichen PoC. Teams, die weiterhin in einem 30-Tage-Zyklus für Windows-Server arbeiten, schreiben den Scheck für den nächsten Vorfall, ohne es zu wissen. Was Microsoft an diesem Dienstag geliefert hat, ist nicht nur ein Paket: es ist ein Thermometer dafür, wie weit das Reifegradmodell des Vulnerability Managements noch hinter der Geschwindigkeit der Ausnutzung zurückliegt.