Microsoft Juni: 206 Schwachstellen – neuer Negativrekord

Gleich mehrere Großkonzerne und die US-Cybersicherheitsbehörde CISA meldeten eine beispiellose Welle von Schwachstellen – darunter zahlreiche, die bereits aktiv von Angreifern ausgenutzt werden.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses E-Book: Cyber Security Trends jetzt herunterladen

Microsoft: 206 Schwachstellen – ein neuer Negativrekord

Am 9. Juni veröffentlichte Microsoft sein monatliches Sicherheitsupdate – und stellte damit einen unrühmlichen Rekord auf. 206 Schwachstellen wurden geschlossen, 38 davon als kritisch eingestuft. Der bisherige Höchstwert von 175 Patches aus dem Oktober 2025 wurde damit deutlich übertroffen.

Besonders brisant: 55 der Lücken ermöglichen eine Remotecodeausführung (RCE) – Angreifer könnten damit aus der Ferne die Kontrolle über betroffene Systeme übernehmen.

Drei Sicherheitslücken waren bereits vor dem Patch-Day öffentlich bekannt. Dabei handelt es sich um eine Rechteausweitung in der CTF-Komponente (CVE-2026-45586), ein Denial-of-Service-Risiko in HTTP.sys (CVE-2026-49160) und eine Umgehung des BitLocker-Schutzes (CVE-2026-50507). Microsoft stufte diese Schwachstellen als wahrscheinliche Angriffsziele ein – auch wenn sie zum Zeitpunkt der Veröffentlichung noch nicht aktiv ausgenutzt wurden.

Ganz anders die Lage bei drei weiteren Lücken: Sie wurden nachweislich bereits von Angreifern genutzt. Dazu zählen eine Rechteausweitung in Microsoft Defender (CVE-2026-41091), eine Schwachstelle in Outlook Web Access (CVE-2026-42897) und eine besonders gefährliche Windows-Kernel-Lücke (CVE-2026-45657) mit einem CVSS-Score von 9,8 – der höchsten Bedrohungsstufe.

Für zusätzliche Spannung sorgte ein öffentlicher Streit zwischen Microsoft und einem Sicherheitsforscher namens Nightmare Eclipse. Der Forscher hatte mehrere Exploits – darunter solche mit den Codenamen BlueHammer und GreenPlasma – veröffentlicht. Microsoft zog daraufhin eine rechtliche Drohung zurück, kritisierte jedoch die unkoordinierte Offenlegung der Schwachstellen scharf.

CISA setzt neue Maßstäbe: Drei-Tage-Frist für Ivanti-Patch

Am 12. Juni griff die US-Cybersicherheitsbehörde CISA hart durch. Mit einer neuen Bindenden Betriebsrichtlinie (BOD 26-04) verpflichtete sie Bundesbehörden, eine kritische Lücke in Ivanti Sentry binnen drei Tagen zu schließen. Die Schwachstelle CVE-2026-10520 erhielt die Höchstbewertung von 10,0 auf der CVSS-Skala – Grund ist die Möglichkeit einer OS-Befehlseinschleusung.

Die Frist läuft am 14. Juni 2026 ab. Es ist das erste Mal, dass die neue beschleunigte Patch-Richtlinie angewendet wird. Ivanti selbst gab an, dass Angriffe bislang nur gegen Honeypots beobachtet wurden und die Schwachstelle Zugriff auf einen Management-Port erfordere, der normalerweise nicht aus dem Internet erreichbar sei.

Dennoch berichteten Sicherheitsforscher, dass einige Ivanti-Gateways bereits kurz nach der Veröffentlichung eines Proof-of-Concept-Exploits kompromittiert wurden. Ein klares Zeichen dafür, wie schnell Angreifer reagieren.

Oracle PeopleSoft: Gezielte Angriffe auf Hochschulen

Am 13. Juni weitete CISA den Katalog bekannter ausgenutzter Schwachstellen (KEV) um eine kritische Lücke in Oracle PeopleSoft PeopleTools (CVE-2026-35273) aus. Der CVSS-Score von 9,8 spricht Bände. Zwischen dem 27. Mai und dem 9. Juni 2026 wurde die Schwachstelle in einer gezielten Kampagne ausgenutzt.

Sicherheitsexperten führen die Angriffe auf die Gruppe ShinyHunters zurück. Mehr als 100 Organisationen waren betroffen, rund 68 Prozent davon Hochschulen. Die University of Nottingham bestätigte einen Datenvorfall, bei dem rund 455.000 E-Mail-Adressen abgeflossen sein sollen. Bundesbehörden müssen die Lücke bis zum 15. Juni schließen.

Neue KI-Gesetze und zunehmende Cyberrisiken stellen Unternehmen vor massive Herausforderungen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-Ratgeber zur IT-Sicherheit jetzt anfordern

Weitere Sicherheitslücken: Von Cisco bis SAP

Die Sicherheitslage im Juni betrifft jedoch nicht nur Microsoft und Ivanti. Weitere kritische Updates wurden für folgende Systeme veröffentlicht:

• Netzwerk-Hardware: Am 12. Juni nahm CISA Schwachstellen in Cisco Catalyst SD-WAN Manager, Google Chrome und Arista EOS in den KEV-Katalog auf. Bundesbehörden haben bis zum 23. Juni Zeit, Gegenmaßnahmen zu ergreifen. Arista hat bislang keinen Patch veröffentlicht, empfiehlt aber den Einsatz von Zugriffslisten (ACLs).

• Palo Alto Networks: Das Unternehmen schloss die Lücke CVE-2026-0273 in PAN-OS. Die Schwachstelle erlaubt authentifizierten Administratoren, beliebige Befehle mit Root-Rechten auf PA-Series- und VM-Series-Geräten auszuführen.

• Lieferkettensicherheit: Bereits am 5. Juni hatten Angreifer Passwort-stehlende Malware in 73 GitHub-Repositories von Microsoft eingeschleust. Die als Miasma oder Shai-Hulud bekannte Kampagne zielte auf KI-Entwicklungswerkzeuge wie Claude Code und VS Code-Erweiterungen ab. Microsoft hat die betroffenen Repositories wiederhergestellt und betroffene Kunden informiert.

• SAP-Systeme: Auch SAP-Nutzer müssen handeln. Updates für SAP NetWeaver schließen eine SAML-Umgehung (CVE-2026-44748) und eine kritische Speicherkorruptionslücke (CVE-2026-27671).

Ausblick: Wichtige Fristen im Juli

Für Administratoren bleibt die Lage angespannt. Am 14. Juli 2026 endet der Support für SharePoint 2016 und 2019. Zudem läuft am 24. Juni 2026 das 2011 KEK Certificate Authority ab – ein weiteres Datum, das Systemverantwortliche im Blick behalten sollten. Die aktuellen Ereignisse zeigen: Die Bedrohungslage ist ernster denn je, und schnelles Handeln ist der einzige Schutz.

de | wissenschaft | 69536818 |