Microsoft schließt 208 CVEs an einem Rekord-Patchday während ein Forscher neuen Defender-Zero-Day veröffentlicht

Microsoft veröffentlichte am 10. Juni 2026 Sicherheitsupdates für 208 Schwachstellen — das größte Patch Tuesday-Release in der 23-jährigen Geschichte des Programms. Nur wenige Stunden nach Erscheinen des Updates veröffentlichte ein Forscher unter dem Namen Nightmare Eclipse funktionierenden Exploit-Code für eine bisher unbekannte privilege escalation-Lücke in Windows Defender. Unternehmens-Sicherheitsteams stehen damit vor einem der anspruchsvollsten Patch-Tage, die es je gab.

Eine wormfähige Kernel-Lücke an der Spitze

Die dringlichste Korrektur dieses Monats ist CVE-2026-45657, eine use-after-free-Schwachstelle mit CVSS 9.8 im Windows Kernel TCP/IP Stack. Microsoft stuft sie als wormfähig ein: Ein nicht authentifizierter Angreifer aus dem Internet kann speziell präparierte Pakete an ein verwundbares System senden und dort Code-Ausführung auf SYSTEM-Ebene erreichen — ohne Anmeldedaten und ohne Benutzerinteraktion. Betroffen sind Windows 11 in den Versionen 23H2 bis 26H1 auf x64 und ARM64 sowie Windows Server 2022 und 2025 einschließlich Server Core.

Für CVE-2026-45657 gibt es noch keinen bestätigten öffentlichen Exploit, aber Sicherheitsforscher betreiben bereits Reverse Engineering des Patches. Angesichts der Eigenschaften dieser Schwachstelle dürfte das Zeitfenster bis zum Erscheinen eines zuverlässigen öffentlichen Exploits in Tagen gemessen werden, nicht in Wochen.

Sechs Zero-Days, einer aktiv ausgenutzt

Unter den 208 CVEs befinden sich sechs Zero-Day-Schwachstellen, von denen fünf bereits vor den heutigen Patches öffentlich bekannt waren. Eine davon — CVE-2026-42897, eine Spoofing-Schwachstelle in Microsoft Exchange — wurde vor Erscheinen des Patches bereits in realen Angriffen ausgenutzt. Zu den weiteren bemerkenswerten Zero-Days zählen GreenPlasma (CVE-2026-45586), eine Privilegienerweiterung im Windows Collaborative Translation Framework; YellowKey (CVE-2026-45585) und Bitskrieg (CVE-2026-50507), beide BitLocker-Bypass-Lücken; sowie HTTP/2 Bomb (CVE-2026-49160), eine Denial-of-Service-Schwachstelle in HTTP.sys.

Die Zahl von 208 CVEs, ermittelt vom Trend Micro Zero Day Initiative-Forscher Dustin Childs, überbietet den bisherigen Monatsrekord von 167 CVEs. Von den Gesamtschwachstellen sind 33 als Critical eingestuft, davon 28 remote code execution-Lücken.

RoguePlanet: Neuer Defender-Zero-Day am selben Tag

Nur Stunden nach Microsofts Update veröffentlichte Nightmare Eclipse — ein Forscher, der in den vergangenen Monaten unter Namen wie BlueHammer, RedSun und GreenPlasma eine Reihe von Windows-Zero-Days herausgebracht hat — den Exploit RoguePlanet, der gezielt Microsoft Defender angreift. Die Lücke nutzt eine Race Condition in der internen Dateiverarbeitungslogik von Defender aus und ermöglicht es einem normalen Benutzer ohne erhöhte Rechte, auf vollständig gepatchten Windows 10- und Windows 11-Systemen Code mit SYSTEM-Rechten auszuführen.

Der Exploit ist nicht zu 100% zuverlässig — als Race Condition variieren die Erfolgsquoten je nach Systemkonfiguration — doch ThreatLocker bestätigte, dass er auf Windows 11-Systemen mit dem Juni-Update KB5094126 funktioniert. Organisationen, die Application Allowlisting einsetzen, können diesen Angriffsvektor blockieren.

Nightmare Eclipse befindet sich in einem anhaltenden öffentlichen Streit mit Microsoft über Schwachstellen-Offenlegungspraktiken und Bug-Bounty-Zahlungen. Nachdem Microsoft die Repositories des Forschers von GitHub und GitLab entfernen ließ, wechselte Nightmare Eclipse zu einer selbst gehosteten Plattform unter projectnightcrawler.dev und veröffentlicht weiterhin neue Exploits. Ein CVE für RoguePlanet wurde noch nicht vergeben.

Was ist zu priorisieren

Sicherheitsteams sollten CVE-2026-45657 (die wormfähige Kernel TCP/IP-Lücke) und CVE-2026-42897 (den aktiv ausgenutzten Exchange-Zero-Day) vorrangig einspielen, bevor sie sich dem Rest des Updates widmen. Für die RoguePlanet-Lücke in Defender gibt es noch keinen Patch — Application Allowlisting und Endpoint Detection Rules sind die verfügbaren Gegenmaßnahmen, bis Microsoft einen Fix liefert. Wie BleepingComputer berichtet, ist die vollständige Liste der CVEs und betroffenen Produkte in Microsofts Security Update Guide für Juni 2026 verfügbar.