Microsoft veröffentlicht größtes Patch Tuesday-Paket seiner Geschichte

Zusammenfassung

Microsoft hat zum Patch Tuesday mehr als 200 Sicherheitslücken geschlossen und damit laut mehreren Trackern die bislang größte Veröffentlichung in der Geschichte des Programms vorgelegt. Microsofts Juni-Release listet 206 eigene CVEs auf; die Zero Day Initiative (ZDI) zählte 208, Tenable 198, weil dort einige Einträge anders gewertet werden. Unabhängig von den unterschiedlichen Zählweisen bewerteten beide die Veröffentlichung als die größte seit Einführung des Patch-Tuesday-Programms. Im Mittelpunkt steht dabei nicht nur die schiere Zahl der behobenen Fehler, sondern auch ein struktureller Trend: Microsofts Sicherheitsverantwortliche hatten bereits im vergangenen Monat erklärt, dass Werkzeuge mit Künstlicher Intelligenz die Entdeckung von Schwachstellen in der gesamten Branche beschleunigen. Laut Tom Gallagher, Vice President of Engineering im Microsoft Security Response Center, rechnet das Unternehmen deshalb damit, dass die monatlichen Patch-Tuesday-Umfänge weiter wachsen. Unter den behobenen Lücken befindet sich auch eine bereits aktiv ausgenutzte Schwachstelle in Microsoft Defender sowie eine als besonders kritisch eingestufte Windows-Kernel-Lücke, die aus der Ferne die vollständige Übernahme eines Systems ermöglichen würde.

Microsoft hat am Dienstag Korrekturen für mehr als 200 Schwachstellen veröffentlicht. Nach Angaben der Zero Day Initiative umfasst das Paket 208 CVEs von Microsoft und übertrifft damit den bisherigen Höchststand von 177 aus dem vergangenen Jahr deutlich. Tenable kam auf 198 CVEs, weil mehrere Schwachstellen aus der Zählung herausfielen, die nach eigener Darstellung über Servicing behoben wurden oder von anderen Anbietern offengelegt worden seien. Beide stuften das Juni-Update dennoch als die größte Patch-Tuesday-Veröffentlichung seit Beginn des Programms ein.

Für Verteidiger beginnt mit der Veröffentlichung regelmäßig eine kritische Phase: Sobald Patches bereitstehen, analysieren Angreifer diese, um die geschlossenen Schwachstellen rückwärts zu rekonstruieren und Systeme anzugreifen, die noch nicht aktualisiert wurden. Microsoft hatte bereits im vergangenen Monat eingeräumt, dass KI-Werkzeuge die Zahl neu entdeckter Schwachstellen branchenweit steigen lassen. Tom Gallagher erklärte in einem Blogbeitrag, das Unternehmen gehe davon aus, dass die Patch-Tuesday-Veröffentlichungen weiter größer werden.

Im Zusammenhang mit dem Mai-Release hatte Microsoft zudem ein internes System mit dem Codenamen MDASH vorgestellt. Nach Unternehmensangaben hatte dieses System 16 der damaligen Schwachstellen selbstständig gefunden, bevor ein menschlicher Sicherheitsforscher sie meldete. In diesem Monat erklärte ZDI, dass eine der öffentlich bekannt gewordenen Lücken offenbar auf ähnliche Weise entdeckt worden sei. ZDI verwies außerdem darauf, dass die Zahl der von Microsoft im Jahr 2026 bislang veröffentlichten CVEs bereits über dem Gesamtwert von 2018 liege.

Als besonders brisant gilt Forschern zufolge CVE-2026-45657. Die Schwachstelle erhielt einen Schweregrad von 9,8 von 10 und sitzt tief im Windows-Kern. Ein entfernter Angreifer könnte damit ein System ohne Mitwirkung des Nutzers vollständig übernehmen. ZDI bezeichnete die Lücke als „wurmfähig“: Ein Angriff könnte sich also selbstständig von einem Rechner zum nächsten über ein Netzwerk ausbreiten. Microsoft selbst stufte eine Ausnutzung als „weniger wahrscheinlich“ ein, doch ZDI sah darin keine echte Entwarnung.

Die Ursache liegt laut Bericht darin, wie der Windows-Kernel, also die am stärksten privilegierte Schicht des Betriebssystems, Netzwerkverkehr verarbeitet. Dadurch ist die Schwachstelle überhaupt erst über das Netzwerk erreichbar. ZDI zufolge zerlegten Forscher und Exploit-Entwickler den Patch bereits, um die zugrunde liegende Lücke zu rekonstruieren, und forderten Unternehmen auf, das Update ohne Verzögerung einzuspielen.

Tatsächlich bereits aktiv ausgenutzt wird CVE-2026-41091. Die mit 7,8 von 10 bewertete Schwachstelle betrifft Microsoft Defender, den in Windows integrierten Virenschutz. Es handelt sich um eine Privilegienausweitung: Wer bereits einen ersten Zugriff auf ein System hat, kann sich damit die vollständige Kontrolle über den Rechner verschaffen. Microsoft erklärte, ein Angreifer könne Defender dazu bringen, eine schädliche Datei in einen geschützten Speicherort zu schreiben und so die höchste Kontrollstufe über das System zu erlangen. Die US-Behörde CISA hatte die Lücke am 20. Mai in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen.

Daneben wurden drei Zero-Day-Schwachstellen offengelegt, darunter ein BitLocker-Bypass mit der Kennung CVE-2026-50507. Dadurch lässt sich die Funktion umgehen, die Inhalte eines Windows-Laptops verschlüsseln soll, damit ein Dieb nach einem Diebstahl das Laufwerk nicht lesen kann.

Sowohl CVE-2026-41091 als auch CVE-2026-50507 werden mit dem unter dem Namen Nightmare Eclipse auftretenden Forscher in Verbindung gebracht. Der pseudonyme Sicherheitsforscher veröffentlicht seit April funktionsfähigen Exploit-Code für ungepatchte Windows-Schwachstellen auf GitHub. Zur Begründung führte er an, Microsoft habe sein Konto für Schwachstellenmeldungen gelöscht, Prämienzahlungen zurückgehalten und seinen Namen aus mindestens einer Sicherheitsmeldung entfernt. Microsoft bestreitet die Behauptung zur Kontolöschung. Das Unternehmen hatte die Veröffentlichungen zunächst als „niemals zu rechtfertigen“ bezeichnet und erklärt, seine Digital Crimes Unit werde weiter gegen diejenigen vorgehen, die Cyberkriminalität ermöglichten. Nach Kritik aus der Sicherheitsgemeinschaft nahm Microsoft die offen formulierte Drohung jedoch wieder zurück. Nightmare Eclipse kündigte weitere Veröffentlichungen an und stellte neuen Windows-Exploit-Code für den 14. Juli, den nächsten Patch Tuesday, in Aussicht.

Microsoft veröffentlicht größtes Patch Tuesday-Paket seiner Geschichte

Ähnliche Artikel

Neueste Artikel