Patch Tuesday-Rekord von Microsoft korrigiert 200 CVEs und deckt Zero-Day des Defenders auf
Die größte Aktualisierung in der Geschichte des Programms bringt sechs Zero-Days, einer davon, CVE-2026-41091, mit bestätigtem aktivem Exploit im Microsoft Defender. CISA hat bereits die Bundesbehörden aufgefordert, das Paket anzuwenden.
Microsoft veröffentlichte am 10. Juni den größten Patch Tuesday seit Beginn des Programms im Jahr 2003. Insgesamt wurden 200 Schwachstellen in einem einzigen Batch behoben, darunter 33 als kritisch eingestuft, von denen 28 die Ausführung von Code aus der Ferne ermöglichen. Das Paket brachte auch sechs öffentlich bekannt gewordene Zero-Days, von denen einer mit aktivem Exploit belegt ist.
Die unter Angriff stehende Schwachstelle ist die CVE-2026-41091, eine Privilegieneskalation im Microsoft Defender mit einem CVSS von 7.8. Der Fehler ermöglicht es einem Angreifer mit lokalem Zugriff, Code auf SYSTEM-Ebene durch Manipulation von Dateilinks im Malware Protection Engine auszuführen, so das Bulletin von Microsoft. Das Unternehmen selbst aktualisiert die Komponente automatisch, aber die CISA hat die CVE dem Katalog der bekannt ausgenutzten Schwachstellen hinzugefügt und verlangt, dass die amerikanischen Bundesbehörden die Version 1.1.26040.8 des Engines vor dem 3. Juni anwenden, wobei diese Frist bereits abgelaufen ist.
Der kritische RCE-Stapel
Zwei Schwachstellen beherrschten das Risiko-Ranking außerhalb des Defenders. Die CVE-2026-45657, im Kernel von Windows 11 und Windows Server, ist eine aus der Ferne ausführbare Code-Schwachstelle mit einem CVSS von 9.8, die ohne Authentifizierung über einen Fehler in der TCP/IP-Verarbeitung ausnutzbar ist, so die Mitteilung von Microsoft. Es ist keine Benutzerinteraktion erforderlich. Die CVE-2026-44815, im DHCP-Client-Service, erhielt das gleiche CVSS von 9.8 und betrifft Windows-Clients im Netzwerk. SOC-Betreiber tendieren dazu, diese beiden Schwachstellen zu priorisieren: Beide haben das Profil eines Fehlers, der schnell in laterale Bewegungen in Unternehmensumgebungen umschlägt.
Die Zero Day Initiative von Trend Micro beschrieb das Paket als neues Normal. "Mehr als 200 CVEs, die an einem einzigen Dienstag behoben wurden, ist das Ereignis, das die Kapazität der Reaktionsteams belastet", schrieb Dustin Childs im Blog der ZDI, das am 9. Juni veröffentlicht wurde. Childs stellte auch fest, dass sich 32 der kritischen Schwachstellen auf RCE konzentrieren, was das Risikomatrix in Active Directory- und VPN-Umgebungen, die noch auf Windows Server basieren, verändert.
Öffentliche Zero-Days und RoguePlanet neben dem Patch
Neben der CVE-2026-41091 signalisierte Microsoft fünf öffentlich bekannt gewordene Zero-Days, für die bisher keine ausgenutzten Exploits beobachtet wurden. Die Liste umfasst die CVE-2026-45586, eine Privilegieneskalation im Windows Collaborative Translation Framework, die dem Angreifer SYSTEM-Zugriff gewährt, und die CVE-2026-49160, die von Forschern als HTTP/2 Bomb bezeichnet wurde, einen Denial-of-Service-Vektor im HTTP/2-Stack von Windows und IIS. Die CVE-2026-50507, im BitLocker, erfordert physischen Zugriff auf das Gerät, was für Unternehmensflotten relevant, aber kritisch für Verluste und Diebstähle ist.
Am selben 10. Juni, an dem das Paket veröffentlicht wurde, veröffentlichte ein Forscher mit dem Pseudonym Nightmare Eclipse einen Proof-of-Concept namens RoguePlanet für eine Race Condition im Windows Defender, die eine Shell im SYSTEM-Modus ausführt. Dieses PoC ist nicht durch die Korrekturen im Juni abgedeckt, so eine Warnung von Help Net Security. Die Erkennungsteams müssen die Ankündigung als sofortige Erweiterung der Angriffsfläche behandeln, insbesondere in Umgebungen mit nicht aktualisierten Endpunkten.
Wo die Rechnung zusammenkommt
Die Größe des Batches wiegt mehr als jede einzelne CVE. Im Januar hatte Microsoft 112 CVEs am ersten Patch Tuesday des Jahres behoben, so Computer Weekly. Im Juni wurde dieses Volumen fast verdoppelt und der vorherige Rekord des Programms, das seit 2003 besteht, wurde gebrochen. Für SOC-Teams in regulierten Umgebungen, insbesondere europäische Banken und Versicherungen mit aggressiven SLAs für kritische Patches, ist das Wartungsfenster außerhalb des Kalenders unvermeidlich geworden.
In den Vereinigten Staaten verpflichtet die Binding Operational Directive 22-01 die Bundesbehörden, innerhalb kurzer Fristen Patches für die CVEs im KEV-Katalog anzuwenden. Im Vereinigten Königreich empfiehlt das NCSC, kritische Infrastrukturbetreiber die Zero-Days von Windows als höchste Priorität zu behandeln, wenn ein aktiver Einsatz bestätigt wurde. In Märkten mit intensivem Offshoring, wie Indien und Polen, neigen die Acceleration Centers und Shared Services Hubs der Big Four und der Tier-1-Banken dazu, das Wartungsfenster auf Lateinamerika, einschließlich Brasilien, innerhalb von bis zu 72 Stunden zu verbreitern, was die lokalen Teams von Banken und Auftraggeber-BPOs unter Druck setzt.
Die Besonderheit dieser Runde ist die gleichzeitige Ankündigung von RoguePlanet. Eine behobene CVE und ein öffentliches PoC am gleichen Tag verwandeln den Patch-Zyklus in eine binäre Berechnung: installiere, bevor die nächste Runde von Ransomware den Exploit integriert. Für europäische Teams, die immer noch die Nachwirkungen des Qilin-Vorfalls gegen das VPN von Check Point verwalten, das am 8. Juni veröffentlicht wurde und mit der CVE-2026-50751 verknüpft ist, ist Ruhe in den nächsten 48 Stunden unwahrscheinlich.