Microsoft-Patch 9. Juni: 200 Sicherheitslücken geschlossen, 6 Zero-Days
11.06.2026 - 16:11:27 | boerse-global.de
Microsoft hat am 9. Juni 2026 ein dringendes Sicherheitsupdate für Exchange Server veröffentlicht. Die als CVE-2026-42897 bekannte Schwachstelle wird bereits von Angreifern ausgenutzt.
Betroffen sind On-Premises-Installationen von Exchange Server 2016, 2019 und der Subscription Edition (SE). Die Sicherheitslücke erlaubt es nicht authentifizierten Angreifern, beliebigen JavaScript-Code im Browserkontext eines Nutzers auszuführen. Das geschieht durch eine präparierte E-Mail: Öffnet der Empfänger die Nachricht in Outlook Web Access (OWA), wird der Schadcode aktiviert. Eine Erhöhung von Benutzerrechten ist dafür nicht nötig – wohl aber die Interaktion des Opfers.
Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen über Sicherheitslücken wie in Exchange Server – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses Cyber-Security E-Book herunterladen
Bereits seit Mai auf der CISA-Liste
Die US-amerikanische Cybersicherheitsbehörde CISA hatte die Schwachstelle bereits am 15. Mai 2026 in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. Bundesbehörden wurden damals angewiesen, bis zum 29. Mai 2026 verfügbare Gegenmaßnahmen zu implementieren. Microsoft selbst hatte Mitte Mai vorläufige Schutzmaßnahmen über den Exchange Emergency Mitigation Service (EEMS) bereitgestellt – als Übergangslösung, bis das finale Update nun vorliegt.
Lizenzfalle für ältere Exchange-Versionen
Der Patch ist nicht für alle Nutzer gleichermaßen zugänglich. Während Exchange Server SE die Updates im regulären Support-Zyklus erhält, müssen Betreiber von Exchange Server 2016 oder 2019 am Period 2 Extended Security Update (ESU)-Programm teilnehmen. Dieser Zeitraum läuft von Mai bis Oktober 2026.
Microsoft verschärft zudem die Compliance-Anforderungen: Ab Juli 2026 werden die Exchange Mitigation (EM)- und Flighting-Dienste Server-Konfigurationen ablehnen, die nicht auf dem Juni-2026-Release oder neuer laufen. Administratoren wird empfohlen, bestehende EEMS-Maßnahmen auch nach der Patch-Installation aktiviert zu lassen – als Teil einer mehrschichtigen Sicherheitsstrategie.
CEO-Fraud und manipulierte E-Mails zeigen, warum selbst erfahrene Mitarbeiter auf professionell gefälschte Nachrichten hereinfallen können. Ein kostenloser Report enthüllt, welche psychologischen Tricks Hacker gezielt einsetzen und wie Ihr Unternehmen die Abwehr stärkt. Anti-Phishing-Paket für Unternehmen kostenlos anfordern
Rund 200 Schwachstellen geschlossen
Der Patch-Day vom 9. Juni war umfangreich: Insgesamt schloss Microsoft rund 200 Sicherheitslücken im gesamten Ökosystem. Darunter befanden sich sechs Zero-Day-Schwachstellen, von denen fünf bereits vor der Veröffentlichung öffentlich bekannt waren. Zu den weiteren behandelten Problemen zählen Rechteausweitungen im Cloud Files Mini Filter und CTFMON, Umgehungen von BitLocker sowie eine Denial-of-Service-Lücke in HTTP.sys.
„Ghost-Sender": Konfigurationsrisiko in Exchange Online
Unabhängig von den offiziellen Patches machten Sicherheitsforscher von InfoGuard auf ein weiteres Problem aufmerksam: „Ghost-Sender" betrifft Exchange Online und Hybrid-Umgebungen, die einen externen MX-Eintrag oder Mail-Gateway nutzen. Angreifer können demnach Standard-Authentifizierungsprotokolle wie SPF, DKIM und DMARC umgehen und beliebige Absenderadressen fälschen.
Microsoft stuft „Ghost-Sender" offiziell als Konfigurationsproblem ein – nicht als Produktfehler. Der Konzern räumt jedoch ein, dass diese Konfiguration aktiv missbraucht wird. Betroffene Organisationen sollten einen Partner Organization Connector oder spezifische Mail-Flow-Regeln einrichten, um unbefugte E-Mails abzuwehren.
