Microsofts Juni-2026-Patch-Tuesday landete am 9. Juni mit über 200 Fixes und sechs Zero-Days, von denen einer bereits in Angriffen genutzt wurde. Doch die größere Geschichte ist die Gesellschaft, in der er sich befand: In derselben Woche tauchten aktiv ausgenutzte Zero-Days in Check Point VPN, Oracle PeopleSoft, Cisco SD-WAN und Chrome auf – mehrere davon zum Zeitpunkt der Offenlegung ohne Patch. Wer nur die Microsoft-Schlagzeile gelesen hat, hat das Falsche zuerst gepatcht. Hier ist die ganze Woche, sortiert danach, was tatsächlich ausgenutzt wird.
Im Detail: der Juni-2026-Patch-Tuesday – große Zahl, ein dringender Bug
Microsoft hat Fixes für rund 200 bis 206 Schwachstellen ausgeliefert, je nachdem, welchen Tracker man zählt – damit ist dies einer der größten einzelnen Patch-Tuesdays aller Zeiten. Davon sind laut BleepingComputer 33 als kritisch eingestuft, 28 davon Remote Code Execution.
Sechs Zero-Days wurden offengelegt. Fünf waren vor dem Patch öffentlich bekannt, aber noch nicht ausgenutzt:
| CVE | Komponente | Typ | Status |
|---|---|---|---|
| CVE-2026-42897 | Exchange Server | Spoofing | Aktiv ausgenutzt |
| CVE-2026-45586 | CTFMON (Übersetzungs-Framework) | Rechteausweitung | Öffentlich bekannt |
| CVE-2026-49160 | HTTP.sys ("HTTP/2 Bomb") | Denial of Service | Öffentlich bekannt |
| CVE-2026-45585 / CVE-2026-50507 | BitLocker | Umgehung von Sicherheitsfunktionen | Öffentlich bekannt (PoC, physischer Zugriff) |
| CVE-2020-17103 | Cloud Files Mini-Filter-Treiber | Rechteausweitung | Öffentlich bekannt |
Der, auf den es bei der Priorisierung ankommt, ist CVE-2026-42897, die Spoofing-Lücke im Exchange Server – denn es ist der einzige Microsoft-Bug dieses Monats, der bestätigt aktiv genutzt wird. CISA hatte das zugrunde liegende Exchange-Problem bereits vor dem Patch in seinen Known-Exploited-Vulnerabilities-Katalog aufgenommen. Wenn du noch On-Prem-Exchange betreibst, ist das dein erster Schritt.
Der beängstigendste nicht ausgenutzte Eintrag ist CVE-2026-45657, eine Windows-Kernel-RCE mit CVSS 9.8, die laut SOCRadar einem entfernten, nicht authentifizierten Angreifer erlaubt, ohne jede Nutzerinteraktion Code auf SYSTEM-Ebene auszuführen. Bisher wurde keine Ausnutzung beobachtet, aber eine nicht authentifizierte Kernel-RCE mit 9.8 bleibt nicht lange theoretisch. Auch die HTTP.sys-"HTTP/2 Bomb" (CVE-2026-49160) verdient Aufmerksamkeit, wenn du öffentliche Webdienste hostest: Eine kleine, präparierte HTTP/2-Anfrage zwingt den Server dazu, eine unverhältnismäßig große Datenmenge zu verarbeiten – und auf Shared Hosts kann das mehrere Dienste auf einmal lahmlegen.
Der Teil, den die Rückblicke übersehen: Es war nicht nur Microsoft
Ein Patch Tuesday passiert nicht im luftleeren Raum, und diesen Monat kollidierte er mit einer brutalen Serie herstellerübergreifender Zero-Days, die bereits ausgenutzt wurden. Der wöchentliche Überblick von eSecurity Planet rahmte die Woche aus gutem Grund um Zero-Days, KI-Exploits und Supply-Chain-Risiken.
Check Point VPN – CVE-2026-50751 (CVSS 9.3, ausgenutzt)
Ein Logikfehler in der Zertifikatsprüfung erlaubt einem nicht authentifizierten, entfernten Angreifer, eine VPN-Sitzung ohne gültiges Passwort aufzubauen. Betroffen sind Gateways, die das veraltete IKEv1-Protokoll nutzen und ältere Remote-Access-Clients akzeptieren, ohne ein Maschinenzertifikat zu verlangen. Forensische Analysen zeigen Ausnutzung seit dem 7. Mai 2026, und Check Point hat mindestens einen Vorfall mit der Qilin-Ransomware-Operation in Verbindung gebracht. CISA nahm die Lücke in seinen Known-Exploited-Vulnerabilities-Katalog auf und gab Bundesbehörden laut BleepingComputer nur drei Tage – Frist 11. Juni –, um betroffene Systeme zu patchen oder zu isolieren. Du kannst nicht sofort patchen? Wechsle auf IKEv2, lass den Support für Legacy-Clients fallen oder mach die Maschinenzertifikat-Authentifizierung verpflichtend. Eine Lücke im Perimeter-VPN, die von einem Ransomware-Affiliate genutzt wird, ist genau das Szenario, das Teams immer weiter in Richtung Zero-Trust-Zugriff statt flacher VPN-Tunnel drängt.
Oracle PeopleSoft – CVE-2026-35273 (CVSS 9.8, ausgenutzt)
Eine nicht authentifizierte RCE in den PeopleSoft Enterprise PeopleTools – Netzwerkzugriff über HTTP reicht aus, um den Server zu übernehmen. Mandiant und The Hacker News berichten, dass die ShinyHunters-Gruppe (UNC6240) sie zwischen dem 27. Mai und dem 9. Juni als echten Zero-Day ausgenutzt hat – dabei kompromittierte sie rund 300 Instanzen und stahl Daten von über 100 Organisationen, 68 % davon im Hochschulbereich. Die University of Nottingham bestätigte einen Einbruch, bei dem 454.600 Studierendendatensätze auf der Leak-Seite der Gruppe veröffentlicht wurden. Oracle gab sein Out-of-Band-Advisory erst am 10. Juni heraus – die Lücke war also die ganze Zeit, in der sie ausgeplündert wurde, ungepatcht. Patche sofort und geh von einer Kompromittierung aus, wenn du eine ins Internet ausgerichtete PeopleSoft-Instanz betreibst.
Cisco SD-WAN Manager – CVE-2026-20245 (ausgenutzt, kein Patch bei Offenlegung)
Eine Command-Injection-Lücke in der CLI des Catalyst SD-WAN Manager führt über präparierte Datei-Uploads beliebige Befehle als Root aus. SOC Prime weist darauf hin, dass sie Netadmin-Rechte erfordert (über gestohlene Zugangsdaten oder durch Verketten früherer SD-WAN-Bugs), und beobachtete Angriffe spielten Konfigurationsänderungen bis hinunter auf die Edge-Geräte aus. Ciscos PSIRT erfuhr im Juni von der Ausnutzung und legte sie früh am 5. Juni offen – ohne Patch und ohne Workaround zu diesem Zeitpunkt. Die Gegenmaßnahme besteht in Beweissicherung und Härtung, bis ein Fix kommt.
Chrome V8 – CVE-2026-11645 (ausgenutzt)
Google patchte einen Zero-Day in der V8-JavaScript-Engine, der aktiv ausgenutzt wurde. Browser-Zero-Days sind Drive-by-Terrain; lass Chrome automatisch aktualisieren und stell sicher, dass deine Flotte auf dem gefixten Build ist.
Was du zuerst patchen solltest
Lass die Hersteller-Logos weg und sortiere nach einer einzigen Frage: Wird es gerade jetzt ausgenutzt?
- Oracle PeopleSoft (CVE-2026-35273) – nicht authentifizierte RCE, laufender Massendatendiebstahl. Heute patchen und nach Kompromittierung suchen.
- Check Point VPN (CVE-2026-50751) – mit Ransomware verknüpft, die Bundesfrist ist bereits verstrichen. Jetzt patchen oder die IKEv2-/Zertifikats-Maßnahmen anwenden.
- Microsoft Exchange (CVE-2026-42897) – der einzige aktiv ausgenutzte Bug im Patch-Tuesday-Paket.
- Cisco SD-WAN (CVE-2026-20245) – ausgenutzt, ohne Patch; härten und überwachen.
- Chrome V8 (CVE-2026-11645) – das Browser-Update ausrollen.
- Windows-Kernel-RCE (CVE-2026-45657) – noch nicht ausgenutzt, aber eine nicht authentifizierte RCE mit 9.8; einplanen, bevor sie zur Nummer 1 wird.
Achte auf das Muster: Die schädlichsten Bugs dieser Woche steckten nicht im riesigen Microsoft-Paket – es waren Edge-Geräte und Unternehmensanwendungen, die ins Internet ausgerichtet sind (VPN-Gateways, HR-Systeme, SD-WAN-Manager). Genau dort verbrennen Angreifer ihr Zero-Day-Budget, denn ein einziger nicht authentifizierter Bug auf einer öffentlichen Maschine ist mehr wert als ein ganzer Haufen lokaler Rechteausweitungen.
Das ist auch die wiederkehrende Lektion aus den schlimmsten Vorfällen des Jahres 2026: Der Einbruch beginnt meist an etwas, von dem du vergessen hattest, dass es ins Internet zeigt. Es ist dieselbe Grundursache, die hinter der npm-Supply-Chain-Krise des Jahres und der neuen Welle von Angriffen auf KI-Agenten steckt – die Angriffsfläche wuchs schneller, als irgendjemand patchen konnte.
Wir betreiben unsere eigene Infrastruktur, also sind Wochen wie diese für uns nicht abstrakt: ein Rekord-Patch-Tuesday plus vier ausgenutzte Zero-Days ist ein ganz realer Dienstag. Die Teams, die sauber durchkamen, waren nicht die, die überall am schnellsten gepatcht haben; es waren die, die wussten, welche ihrer Maschinen ins Internet zeigen, und genau die zuerst gepatcht haben. Bau dir dieses Inventar auf, bevor die nächste schlimme Woche kommt – denn die kommt bestimmt.
Manche Links bringen uns eine Provision — ohne Mehrkosten für dich.
Waqas Ahmed Waseer
Waqas Ahmed Waseer is a developer and automation builder with 8+ years shipping production systems used by 100k+ people. He builds custom multi-tenant SaaS, AI automation (n8n, LLM workflows, WhatsApp bots) and hosting infrastructure (WHM/cPanel, CloudLinux) — and is the maker of WaSphere, FlowMaticX, and the WaseerHost hosting brand. 100+ projects delivered for SMBs, agencies and funded startups.
