Windows-Kernel: CVSS 9,8 Lücke könnte sich selbstständig verbreiten
Veröffentlicht: 13.07.2026 um 18:47 Uhr, Redaktion boerse-global.de
Sicherheitsforscher beobachten eine schwerwiegende Sicherheitslücke im Windows-Kernel, die ohne Benutzereingriff ausgenutzt werden könnte. Die als CVE-2026-45657 registrierte Schwachstelle erreicht einen CVSS-Score von 9,8 – die zweithöchste Gefahrenstufe.
Microsoft hat am 9. Juni 2026 zwar ein Sicherheitsupdate veröffentlicht, doch die eigentliche Brisanz liegt woanders: Die Lücke wurde durch ein KI-System des Konzerns entdeckt. Bislang sind keine öffentlichen Exploits bekannt, wie unabhängige Sicherheitsexperten bestätigen.
Die tickende Zeitbombe im Kernel
Bei der Schwachstelle handelt es sich um einen sogenannten Use-After-Free-Fehler. Angreifer könnten damit Code ausführen – ohne Nutzerinteraktion und ohne Administratorrechte. Analysten von CrowdStrike und der Zero Day Initiative (ZDI) vermuten einen TCP/IP-Vektor als Einfallstor. Die Einschätzung ist alarmierend: Die Lücke gilt als potenziell wurmfähig, könnte sich also selbstständig verbreiten.
Entdeckt wurde der Fehler durch Microsofts MDASH-System (Multi-Model Agentic Scanning), eine KI-gestützte Plattform zur automatischen Schwachstellensuche. Der Konzern betont jedoch, dass die menschliche Überprüfung weiterhin der letzte Schritt im Sicherheitsprozess bleibt. Die US-Behörde CISA stufte die technischen Auswirkungen als „total" und die Ausnutzbarkeit als „automatisierbar" ein, nahm den Fehler aber noch nicht in den Katalog bekannter ausgenutzter Schwachstellen auf.
Defender-Patch mit Nebenwirkungen
Die Windows-Kernel-Lücke CVE-2026-45657 (CVSS 9,8) ist potenziell wurmfähig – ohne Benutzereingriff ausnutzbar. Dieser Leitfaden liefert IT-Sicherheitsverantwortlichen eine sofort umsetzbare Checkliste, Update-Anleitung und Maßnahmen gegen Exploits. Jetzt kostenlosen Sicherheits-Leitfaden anfordern
Parallel zur Kernel-Lücke kämpft Microsoft mit einem weiteren Problem: einer Zero-Day-Schwachstelle im eigenen Virenschutz Defender. Die als „RoguePlanet" (CVE-2026-50656) bekannte Sicherheitslücke ermöglicht eine Rechteausweitung auf SYSTEM-Ebene. Entdeckt wurde sie vom Forscher „Nightmare Eclipse", der seit dem Frühjahr 2026 mehrere Zero-Day-Funde veröffentlicht hat.
Microsoft schloss die Lücke im Juli 2026 durch ein Update der Malware Protection Engine. Doch der Forscher berichtet von unerwünschten Nebenwirkungen: Der Patch soll dazu führen, dass Defender unbegrenzt viele Zone.Identifier-Dateien auf die Festplatte schreibt – was im Extremfall den gesamten verfügbaren Speicherplatz belegen könnte.
Aktive Angriffe auf SharePoint
Während die Kernel-Lücke bislang schlummert, zeigt ein anderer Fall, wie real die Gefahr ist: Eine SharePoint-Server-Sicherheitslücke (CVE-2026-45659) wird bereits aktiv ausgenutzt. Obwohl Microsoft im Mai 2026 einen Fix für verschiedene SharePoint-Editionen bereitstellte, setzte CISA den Fehler nach Meldungen über Angriffe auf die KEV-Liste.
Der Defender-Patch (RoguePlanet) verursacht Speicherplatzprobleme – und die Kernel-Lücke schlummert noch. Erhalten Sie eine Schritt-für-Schritt-Update-Anleitung inklusive Workaround für die Zone.Identifier-Flut. Update-Leitfaden jetzt sichern
Sicherheitsbeobachter identifizierten zwei unterschiedliche Bedrohungsgruppen, die die SharePoint-Lücke ausnutzen. Eine Gruppe, bekannt als Storm-2603 oder Warlock-Ransomware, nutzt den Fehler aktiv. Eine zweite Gruppe setzt auf DLL-Seitenladetechniken.
Auch andere Windows-Komponenten erhielten kürzlich Updates. Der Windows File System Proxy (WinFsp) wies eine Integer-Overflow-Schwachstelle (CVE-2026-7162, CVSS 7.8) in Versionen bis 2.2.26112 auf. Nutzer sollten auf Version 2.2B2 aktualisieren.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
