Microsoft-Patchday Juni: Rekord-208-CVEs, Kernel-RCE 9.8

Das ist kein normaler Dienstag. Microsoft hat zum Juni-Patchday 208 Sicherheitslücken auf einen Schlag geschlossen — die größte Monatsladung seit 2017. Der alte Rekord lag bei 177. Mittendrin: eine Lücke, die deinen Rechner ganz ohne Zutun übernehmen kann.

DIE GEFÄHRLICHSTE: Kernel-Kaperung über das Netz

Der dickste Brocken heißt CVE-2026-45657 und trägt einen CVSS-Wert von 9.8. Es ist eine Use-after-free-Lücke im Windows-Kernel, genauer in der Art, wie der Kernel TCP/IP verarbeitet. Das Fatale: Ein entfernter, nicht angemeldeter Angreifer kann darüber Code mit SYSTEM-Rechten ausführen — ohne dass du irgendwas anklicken musst. Betroffen sind Windows 11 (23H2 bis 26H1) sowie Windows Server 2022 und 2025, inklusive Server-Core.

Microsoft stuft die Ausnutzung zwar als „weniger wahrscheinlich“ ein. Aber: Jeder Sicherheitsforscher mit einem Disassembler nimmt diesen Patch gerade auseinander, um die Lücke nachzubauen. Heißt für dich: Das Zeitfenster bis zum ersten Exploit ist kurz.

SCHON IM EINSATZ: Der Zero-Day im Defender

Eine der 208 Lücken wird bereits aktiv ausgenutzt: CVE-2026-41091, eine Rechteausweitung im Microsoft Defender (CVSS 7.8). Dass gleich mehrere Forscher als Entdecker genannt werden, deutet auf Angriffe aus mehreren Quellen hin. Die gute Nachricht: Der Defender aktualisiert sich meist selbst. Wer das abgeschaltet hat oder in einer abgeschotteten Umgebung läuft, muss die Engine von Hand aktualisieren.

WARUM SO VIELE? Office, Azure, Hyper-V, KI-Tools

Die 208 Fixes verteilen sich quer durchs Haus: Windows, Office, Azure, Exchange, Hyper-V, Secure Boot, BitLocker und sogar diverse KI-Werkzeuge. Insgesamt stecken drei Zero-Days in dem Paket. Für Admins heißt das: nicht nur die Desktops, sondern auch Exchange- und Hyper-V-Hosts einplanen.

SO SCHÜTZT DU DICH — in 5 Minuten

Öffne Einstellungen → Windows Update und installiere alle ausstehenden Juni-Updates. Auf Servern: erst auf einem Testsystem prüfen, dann zügig ausrollen — die Kernel-Lücke ist es wert, hier nicht zu trödeln. Kontrolliere zusätzlich, ob dein Defender die neueste Engine hat. EXTRA-TIPP: Wer Server direkt aus dem Internet erreichbar hält, sollte die Angriffsfläche prüfen — eine netzbasierte Kernel-RCE ist der schlimmste anzunehmende Fall.

FAZIT: 208 Lücken klingen nach Panik, sind aber vor allem ein Grund, das Update heute statt nächste Woche einzuspielen. Die Kombination aus netzbasierter Kernel-RCE und aktivem Zero-Day macht diesen Patchday zu einem Pflichttermin.

Häufige Fragen

Welche Systeme sind von der Kernel-Lücke betroffen?

CVE-2026-45657 trifft Windows 11 in den Versionen 23H2, 24H2, 25H2 und 26H1 (x64 und ARM64) sowie Windows Server 2022 und 2025, inklusive Server-Core-Installationen. Über die TCP/IP-Verarbeitung im Kernel kann ein Angreifer aus der Ferne Code mit SYSTEM-Rechten ausführen.

Wird schon eine der Lücken aktiv ausgenutzt?

Ja. CVE-2026-41091, eine Rechteausweitung im Microsoft Defender (CVSS 7.8), wird laut Microsoft bereits aktiv ausgenutzt. Sie ist einer von drei Zero-Days in diesem Patchday. Der Defender aktualisiert sich in der Regel selbst — in isolierten Umgebungen musst du nachhelfen.

Wie behebe ich das Problem konkret?

Spiele die Juni-Updates über Windows Update ein (Einstellungen → Windows Update). Auf Servern vorher kurz auf einem Testsystem prüfen, dann zügig ausrollen. Stelle außerdem sicher, dass die Defender-Engine aktuell ist.

Warum sind es ausgerechnet 208 CVEs?

Es ist die größte Monatsladung seit 2017 (alter Rekord: 177). Die Fixes verteilen sich über Windows, Office, Azure, Exchange, Hyper-V, Secure Boot, BitLocker und KI-Tools. Die schiere Menge ist weniger das Problem als die Schwere einzelner Lücken — allen voran die Kernel-RCE.

Quellen: BleepingComputer, Zero Day Initiative, Windows Forum, Security Affairs

ALARM! Microsoft stopft 208 Löcher auf EINEN Schlag — eine kapert deinen PC ganz ohne Klick