Patch-Rekord Juni: Microsoft schließt 206 Sicherheitslücken
11.06.2026 - 19:29:25 | boerse-global.de
Microsoft hat am gestrigen Patch-Dienstag einen Notfall-Patch für eine bereits aktiv ausgenutzte Sicherheitslücke in Exchange Server veröffentlicht. Die Schwachstelle CVE-2026-42897 ermöglicht Angreifern, über Outlook Web Access (OWA) schädlichen Code einzuschleusen.
Gefährlicher Angriffsvektor über E-Mails
Die als Cross-Site-Scripting (XSS) klassifizierte Lücke betrifft Exchange Server 2016, 2019 und die Security Edition (SE). Mit einem CVSS-Score von 8,1 gilt sie als hochriskant. Das Tückische: Angreifer müssen lediglich eine präparierte E-Mail an ein Opfer senden. Öffnet der Empfänger die Nachricht in OWA, kann beliebiger JavaScript-Code im Browserkontext ausgeführt werden.
Anzeige: Wer die aktive Exchange-XSS-Lücke noch nicht geschlossen hat, handelt fahrlässig. Der Notfall-Patch von Microsoft muss umgehend eingespielt werden – doch mit 206 Lücken im Juni ist die Priorisierung entscheidend. Dieser Leitfaden liefert die Sofort-Checkliste und eine Priorisierungsmatrix für Ihr Team. Jetzt kostenlosen Notfall-Leitfaden anfordern
Betroffen sind ausschließlich On-Premises-Installationen. Exchange Online-Nutzer müssen nicht eingreifen. Für Admins lokaler Server gibt es jedoch keinen Grund zur Entwarnung: „Die Updates sollten umgehend eingespielt werden", raten Sicherheitsexperten.
Bereits Mitte Mai hatte Microsoft über den Exchange Emergency Mitigation Service (EEMS) temporäre Schutzmaßnahmen bereitgestellt. Der jetzt veröffentlichte Patch liefert die dauerhafte Lösung. Experten empfehlen, die Notfall-Mitigationen auch nach der Installation aktiviert zu lassen.
Behörden unter Zugzwang
Die US-amerikanische Cybersicherheitsbehörde CISA hatte die Lücke bereits am 15. Mai in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Bundesbehörden waren verpflichtet, die Schutzmaßnahmen bis zum 29. Mai umzusetzen. Ab Juli 2026 werden die Flighting- und EEMS-Dienste von Microsoft keine Konfigurationsdateien mehr von Servern akzeptieren, die nicht auf dem aktuellen Juni-Update laufen.
Für Unternehmen mit Exchange 2016 oder 2019 wird die Situation zunehmend komplex: Updates sind nur noch über das Extended Security Update (ESU)-Programm der Periode 2 zugänglich, das von Mai bis Oktober 2026 läuft. Exchange Server SE erhält die Patches dagegen über die Standardkanäle.
Rekord beim Patch-Dienstag
Der Juni-Patch-Dienstag markiert einen düsteren Meilenstein: Mit 206 behobenen Sicherheitslücken übertraf Microsoft den bisherigen Rekord von 175 aus dem Oktober 2025. 38 Schwachstellen stuften die Redmonder als kritisch ein.
Anzeige: Für On-Premises-Exchange-Administratoren wird die Zeit knapp: Ab Juli 2026 akzeptiert Microsoft keine Konfigurationsdateien mehr von Servern ohne Juni-Update. ESU-Nutzer brauchen einen klaren Fahrplan. Dieser Report zeigt in 5 Schritten, wie Sie den Patch-Rekord bewältigen und Ihre Exchange-Umgebung absichern. Exchange-Notfall-Fahrplan jetzt sichern
Neben der Exchange-Lücke schloss Microsoft eine ausgenutzte Rechteausweitung in Windows Defender (CVE-2026-41091) sowie eine kritische, als „wurmartig" beschriebene TCP/IP-Lücke mit einem CVSS-Score von 9,8 (CVE-2026-45657). Branchenbeobachter führen die steigende Zahl entdeckter Schwachstellen auch auf den zunehmenden Einsatz von KI in der Sicherheitsforschung zurück. Eine der behobenen Lücken – eine HTTP.sys-Denial-of-Service-Schwachstelle mit dem Namen „HTTP/2 Bomb" – wurde Berichten zufolge mit Hilfe von OpenAI Codex aufgespürt.
Parallel-Gefahren aus anderen Lagern
Während Exchange-Administratoren die Patches priorisieren, warnen Sicherheitsforscher vor weiteren Bedrohungen. Ivanti schloss zwei kritische Lücken in seinem Sentry-Produkt, darunter eine Authentifizierungsumgehung und eine Code-Ausführungslücke mit maximalem CVSS-Score von 10. Gleichzeitig berichten die Experten von Palo Alto Networks Unit 42 von neuen „Browser-in-the-Browser"-Phishing-Kampagnen, die mit gefälschten Login-Fenstern auf Microsoft-365-Zugangsdaten abzielen. Der Trend zu identitätsbasierten Angriffen setzt sich damit unvermindert fort.
