Microsoft's Patch Tuesday van juni 2026 landde op 9 juni met meer dan 200 fixes en zes zero-days, waarvan er één al in aanvallen werd gebruikt. Maar het grotere verhaal is het gezelschap waarin het verkeerde: dezelfde week bracht actief uitgebuite zero-days in Check Point VPN, Oracle PeopleSoft, Cisco SD-WAN en Chrome — meerdere zonder patch op het moment van openbaarmaking. Als je alleen de Microsoft-kop las, heb je het verkeerde ding als eerste gepatcht. Hier is de hele week, gerangschikt op wat daadwerkelijk wordt uitgebuit.
In de Patch Tuesday-drop van juni 2026: groot getal, één urgente bug
Microsoft leverde fixes voor ongeveer 200 tot 206 kwetsbaarheden, afhankelijk van welke tracker je telt, waarmee dit een van de grootste afzonderlijke Patch Tuesdays ooit is. Daarvan zijn er volgens BleepingComputer 33 als Kritiek beoordeeld, waarvan 28 remote code execution.
Zes zero-days werden bekendgemaakt. Vijf waren openbaar vóór de patch, maar nog niet uitgebuit:
| CVE | Component | Type | Status |
|---|---|---|---|
| CVE-2026-42897 | Exchange Server | Spoofing | Actief uitgebuit |
| CVE-2026-45586 | CTFMON (translation framework) | Elevation of privilege | Openbaar bekendgemaakt |
| CVE-2026-49160 | HTTP.sys ("HTTP/2 Bomb") | Denial of service | Openbaar bekendgemaakt |
| CVE-2026-45585 / CVE-2026-50507 | BitLocker | Security feature bypass | Openbaar bekendgemaakt (PoC, fysieke toegang) |
| CVE-2020-17103 | Cloud Files mini-filter driver | Elevation of privilege | Openbaar bekendgemaakt |
Degene die telt voor triage is CVE-2026-42897, de spoofing-fout in Exchange Server, omdat het de enige Microsoft-bug van deze maand is waarvan actief gebruik is bevestigd. CISA had het onderliggende Exchange-probleem al vóór de patch gemarkeerd in zijn Known Exploited Vulnerabilities-catalogus. Als je nog steeds on-prem Exchange draait, is dit je eerste actie.
De engste niet-uitgebuite vermelding is CVE-2026-45657, een Windows Kernel RCE met een CVSS-score van 9.8 die het, volgens SOCRadar, mogelijk maakt dat een externe, niet-geauthenticeerde aanvaller code uitvoert op SYSTEM-niveau zonder enige gebruikersinteractie. Nog geen exploitatie waargenomen, maar een 9.8 unauth kernel RCE blijft niet lang theoretisch. De HTTP.sys "HTTP/2 Bomb" (CVE-2026-49160) verdient ook aandacht als je publieke webservices host: een kleine, geprepareerde HTTP/2-request dwingt de server om een onevenredige hoeveelheid data te verwerken, en op gedeelde hosts kan het meerdere services tegelijk platleggen.
Het deel dat de samenvattingen missen: het was niet alleen Microsoft
Patch Tuesday gebeurt niet in een vacuüm, en deze maand viel het samen met een meedogenloze reeks zero-days bij meerdere leveranciers die al werden uitgebuit. Het wekelijkse overzicht van eSecurity Planet plaatste de week niet voor niets in het teken van zero-days, AI-exploits en supply chain-risico.
Check Point VPN — CVE-2026-50751 (CVSS 9.3, uitgebuit)
Een logica-fout in certificaatvalidatie stelt een niet-geauthenticeerde externe aanvaller in staat een VPN-sessie op te zetten zonder een geldig wachtwoord. Het treft gateways die het verouderde IKEv1-protocol gebruiken en legacy Remote Access-clients accepteren zonder een machinecertificaat te vereisen. Forensisch onderzoek toont exploitatie sinds 7 mei 2026, en Check Point heeft minstens één incident gekoppeld aan de Qilin-ransomwareoperatie. CISA voegde het toe aan zijn Known Exploited Vulnerabilities-catalogus en gaf federale instanties, volgens BleepingComputer, slechts drie dagen — een deadline van 11 juni — om getroffen systemen te patchen of te isoleren. Kun je niet meteen patchen? Schakel over op IKEv2, laat ondersteuning voor legacy-clients vallen, of maak authenticatie met machinecertificaten verplicht. Een perimeter-VPN-bug die wordt gebruikt door een ransomware-affiliate is precies het scenario dat teams blijft duwen richting zero-trust toegang in plaats van platte VPN-tunnels.
Oracle PeopleSoft — CVE-2026-35273 (CVSS 9.8, uitgebuit)
Een niet-geauthenticeerde RCE in PeopleSoft Enterprise PeopleTools — netwerktoegang via HTTP is genoeg om de server over te nemen. Mandiant en The Hacker News melden dat de ShinyHunters-groep (UNC6240) het als een echte zero-day uitbuitte tussen 27 mei en 9 juni, waarbij ze ongeveer 300 instances compromitteerden en data stalen van meer dan 100 organisaties — 68% daarvan in het hoger onderwijs. De University of Nottingham bevestigde een inbreuk, met 454.600 studentenrecords die op de leak-site van de groep werden gezet. Oracle publiceerde zijn out-of-band advisory pas op 10 juni, dus dit was de hele tijd dat het werd geplunderd ongepatcht. Patch onmiddellijk en ga uit van compromittering als je een PeopleSoft-instance draait die aan het internet is blootgesteld.
Cisco SD-WAN Manager — CVE-2026-20245 (uitgebuit, geen patch bij openbaarmaking)
Een command-injection-fout in de CLI van Catalyst SD-WAN Manager voert willekeurige commando's uit als root via geprepareerde file uploads. SOC Prime merkt op dat het netadmin-rechten vereist (via gestolen credentials of door het aaneenketenen van eerdere SD-WAN-bugs), en bij waargenomen aanvallen werden configuratiewijzigingen naar edge-apparaten gepusht. Cisco PSIRT kreeg in juni weet van exploitatie en maakte het vroeg bekend op 5 juni — destijds zonder patch en zonder beschikbare workaround. Remediatie bestaat uit bewijsverzameling en hardening totdat er een fix verschijnt.
Chrome V8 — CVE-2026-11645 (uitgebuit)
Google patchte een zero-day in de V8 JavaScript-engine die actief werd uitgebuit. Browser-zero-days zijn drive-by-terrein; laat Chrome automatisch updaten en bevestig dat je fleet op de gefixte build draait.
Wat als eerste te patchen
Strip de logo's van de leveranciers weg en rangschik op één vraag: wordt het op dit moment uitgebuit?
- Oracle PeopleSoft (CVE-2026-35273) — unauth RCE, massale datadiefstal aan de gang. Patch en jaag vandaag op compromittering.
- Check Point VPN (CVE-2026-50751) — gelinkt aan ransomware, federale deadline al verstreken. Patch nu of pas de IKEv2/cert-mitigaties toe.
- Microsoft Exchange (CVE-2026-42897) — de enige actief uitgebuite bug in de Patch Tuesday-set.
- Cisco SD-WAN (CVE-2026-20245) — uitgebuit zonder patch; harden en monitor.
- Chrome V8 (CVE-2026-11645) — push de browserupdate.
- Windows Kernel RCE (CVE-2026-45657) — nog niet uitgebuit, maar een 9.8 unauth RCE; plan het in voordat het #1 wordt.
Let op het patroon: de meest schadelijke bugs van deze week zaten niet in de gigantische Microsoft-bundel — het waren edge-apparaten en enterprise-apps die aan het internet zijn blootgesteld (VPN-gateways, HR-systemen, SD-WAN-managers). Daar besteden aanvallers hun zero-day-budget, omdat één niet-geauthenticeerde bug op een publieke box meer waard is dan een stapel local privilege escalations.
Dit is ook de terugkerende les van de ergste incidenten van 2026: de inbreuk begint meestal bij iets waarvan je was vergeten dat het aan het internet hing. Het is dezelfde grondoorzaak achter de npm supply chain-crisis van het jaar en de nieuwe golf van AI-agent-aanvallen — het aanvalsoppervlak groeide sneller dan ieders patchcadans.
Wij draaien onze eigen infrastructuur, dus weken als deze zijn niet abstract: een record-Patch Tuesday plus vier uitgebuite zero-days is een echte dinsdag. De teams die er schoon doorheen kwamen, waren niet degenen die over de hele linie het snelst patchten; het waren degenen die wisten welke van hun boxen aan het internet hangen en die als eerste patchten. Bouw die inventaris op vóór de volgende slechte week, want die komt er.
Sommige links kunnen ons een commissie opleveren, zonder extra kosten voor jou.
Waqas Ahmed Waseer
Waqas Ahmed Waseer is a developer and automation builder with 8+ years shipping production systems used by 100k+ people. He builds custom multi-tenant SaaS, AI automation (n8n, LLM workflows, WhatsApp bots) and hosting infrastructure (WHM/cPanel, CloudLinux) — and is the maker of WaSphere, FlowMaticX, and the WaseerHost hosting brand. 100+ projects delivered for SMBs, agencies and funded startups.
