Der Softwarekonzern stopft so viele Löcher wie nie zuvor – doch ein Forscher kontert postwendend mit einem neuen Exploit.
Microsoft hat am heutigen Mittwoch seinen bisher umfangreichsten Patchday ausgerollt. Insgesamt 206 Sicherheitslücken wurden geschlossen, darunter 38 als kritisch eingestufte Schwachstellen und drei Zero-Day-Exploits. Doch die Erleichterung währte nur kurz: Noch am selben Tag veröffentlichte ein Sicherheitsforscher einen neuen Angriffs-Code, der vollständig gepatchte Windows-Systeme angreifbar macht.
Rekordjagd im Juni
Anzeige: Der Juni-Patchday stopft 206 Lücken – doch der RoguePlanet-Exploit macht Windows-Systeme sofort wieder angreifbar. Dieser Report zeigt, wie Sie Updates priorisieren und sich gegen unbestätigte Exploits aus Untergrundforen wappnen. Jetzt kostenlosen Sicherheits-Report anfordern
Der Juni-Patchday übertrifft alle bisherigen monatlichen Updates von Microsoft. Besonders brisant: Einige der behobenen Lücken wurden bereits aktiv ausgenutzt oder waren vor der Veröffentlichung öffentlich bekannt.
Zu den wichtigsten Korrekturen zählt CVE-2026-45586 (Codename „GreenPlasma“) – eine Rechteausweitung in der CTFMON-Komponente. Ebenfalls geschlossen wurde CVE-2026-45585 („YellowKey“), mit dem Angreifer den BitLocker-Schutz umgehen konnten. Auch ein lange bekannter Fehler im Cloud Files Mini Filter Driver (CVE-2020-17103, „MiniPlasma“) fand endlich seinen Weg ins Update.
Zwei kritische Schwachstellen stechen besonders hervor: CVE-2026-45657 im Windows-Kernel und CVE-2026-47291 in HTTP.sys erreichten mit einem CVSS-Score von 9,8 die höchste Bedrohungsstufe. Beide erlauben Angreifern, Code mit Systemrechten auszuführen – ohne dass der Nutzer auch nur klicken muss.
Der RoguePlanet-Exploit und der Forscherstreit
Kaum waren die Updates verteilt, legte der Sicherheitsforscher „Nightmare Eclipse“ (auch bekannt als „Chaotic Eclipse“) nach. Sein Proof-of-Concept (PoC) namens RoguePlanet zielt auf eine Race-Condition in Microsoft Defender ab. Damit erlangt ein Angreifer SYSTEM-Rechte auf Windows 10 und 11 – selbst mit dem aktuellsten Sicherheitsupdate KB5094126.
Die Methode nutzt eine sogenannte TOCTOU-Schwachstelle (Time-of-Check to Time-of-Use), ähnlich dem bereits bekannten BlueHammer-Fehler. Zwar beschränkt sich der PoC derzeit auf Client-Versionen, doch der Forscher betont: Auch Windows Server sei verwundbar.
Die Veröffentlichung ist der vorläufige Höhepunkt eines erbitterten Streits zwischen dem Forscher und Microsoft. „Nightmare Eclipse“ wirft dem Konzern vor, Sicherheitsmeldungen ignoriert, Konten gelöscht und Prämienzahlungen verweigert zu haben. Microsoft verteidigte zunächst seinen koordinierten Offenlegungsprozess und erwog angeblich rechtliche Schritte – lenkte aber nach massiver Kritik aus der Sicherheitsgemeinschaft ein.
Anzeige: Während Microsoft rekordverdächtig patcht, veröffentlicht ein Forscher postwendend neuen Angriffs-Code. Wer seine Systeme nicht priorisiert, riskiert Kompromittierung durch Zero-Day-Lücken. Der Report liefert eine Schritt-für-Schritt-Priorisierungs-Checkliste und Sofortmaßnahmen gegen den RoguePlanet-Exploit. Checkliste jetzt sichern
Unbestätigte Exploits in Untergrundforen
Parallel zum öffentlichen RoguePlanet-Exploit tauchten Berichte über einen weiteren Angriffs-Code auf. In Untergrundforen wird ein nicht verifizierter Exploit für lokale Rechteausweitung (LPE) angeboten – angeblich für Windows 11 24H2 und 25H2. Der Verkäufer verlangt rund 10.000 Euro und gibt an, der Exploit habe eine niedrige Erkennungsrate und laufe auf Intel-Prozessoren effizienter als auf AMD.
Doch Sicherheitsexperten bleiben skeptisch: Ein PoC oder Videobeweis fehlt. Die offiziellen CVE-Datenbanken enthalten zudem keinen Eintrag zu der genannten Kennung CVE-2026-40369. Die Empfehlung der Fachleute: Abwarten, beobachten, aber keine überstürzten Maßnahmen ergreifen.
