Patchday Juni 2026:
200 Lücken, drei Zero-Days und ein Druckproblem

Kurz gesagt: Der Patchday vom 9. Juni 2026 ist der größte aller Zeiten: rund 200 Schwachstellen behoben, 33 kritisch, und drei bereits öffentlich bekannte Zero-Days geschlossen — GreenPlasma, YellowKey (ein BitLocker-Bypass) und HTTP/2 Bomb. Parallel dazu hat jeder, der auf Windows Server 2022 nicht mehr drucken kann, einen klaren Schuldigen: den Mai-Hotpatch KB5087424, der das Drucken aus 32-Bit-Anwendungen lahmlegt. Hier steht, was zu installieren, was zu prüfen ist und was offen bleibt.

Ein Patchday der Rekorde

Noch nie kamen so viele Korrekturen an einem einzigen Dienstag: rund 200 Schwachstellen (die Zählungen der Fachmedien schwanken je nach Methodik zwischen 198 und 208), davon 33 als kritisch eingestuft — 28 davon Remote-Code-Execution-Lücken, also aus der Ferne für Codeausführung ausnutzbar. Nach Kategorien: 65 Rechteausweitungen, 55 Remote Code Executions, 30 Informationslecks, 27 Spoofing-Lücken, 19 Umgehungen von Sicherheitsfunktionen und 7 Denial of Service.

Hinzu kommen über 360 Korrekturen für Chromium-basierte Browser (einschließlich Microsoft Edge), die in derselben Woche erschienen sind. Für alle, die eine Geräteflotte verwalten, ist die Botschaft einfach: Dies ist kein Monat, um Updates aufzuschieben. Unter den kritischen Korrekturen stechen eine Remote Code Execution in Active Directory Domain Services (CVE-2026-45648), eine in Microsoft Office (CVE-2026-45463) und zwei Secure-Boot-Umgehungen (CVE-2026-45588 und CVE-2026-45654) hervor. Das Rollup schließt auch CVE-2026-42897, die aktiv ausgenutzte Exchange-Server-Schwachstelle, über die wir im Mai berichtet haben.

Die drei geschlossenen Zero-Days: GreenPlasma, YellowKey und HTTP/2 Bomb

Drei Schwachstellen waren bereits vor dem Patch öffentlich — mit technischen Details oder Proof-of-Concept-Code im Umlauf. Keine davon wurde zum Zeitpunkt der Veröffentlichung aktiv ausgenutzt, aber ab heute ist jeder Tag ohne Update ein Tag der Exposition:

• GreenPlasma (CVE-2026-45586) — Rechteausweitung im Windows Collaborative Translation Framework (der CTFMON-Komponente): Ein lokaler Benutzer kann durch fehlerhafte Link-Auflösung eine Shell mit SYSTEM-Rechten erlangen. Die Lücke gehört zur Serie der Zero-Days, die der als Nightmare Eclipse bekannte Forscher veröffentlicht hat.
• BitLocker-Bypass (CVE-2026-50507, dazu YellowKey CVE-2026-45585) — der Juni schließt zwei verschiedene Lücken, die die BitLocker-Verschlüsselung bei physischem Zugriff umgehen: CVE-2026-50507, vor dem Patch öffentlich bekannt, und CVE-2026-45585 — laut Microsoft-Advisory die Schwachstelle hinter dem YellowKey-Exploit: präparierte Dateien auf einem USB-Stick oder der EFI-Partition, Start der Wiederherstellungsumgebung WinRE und — bei gedrückter STRG-Taste — eine Shell mit Zugriff auf verschlüsselte Laufwerke. Betroffen sind Konfigurationen mit reinem TPM-Schutz auf Windows 11 und Windows Server 2022/2025.
• HTTP/2 Bomb (CVE-2026-49160) — Denial of Service gegen HTTP.sys, den Treiber, der Webanfragen in IIS und vielen Windows-Diensten bedient: präparierte HTTP/2-Anfragen zwingen den Server, unverhältnismäßig viel Arbeitsspeicher zu belegen. Zusätzlich zum Patch führt Microsoft den neuen Registrierungswert MaxHeadersCount ein, um die Zahl der in HTTP/2- und HTTP/3-Anfragen akzeptierten Header zu begrenzen.

Die Lehre aus den BitLocker-Bypässen verdient auch nach dem Patch Aufmerksamkeit: Auf Laptops mit sensiblen Daten bleibt TPM + Start-PIN die empfohlene Konfiguration. Der reine TPM-Schutz gibt den Verschlüsselungsschlüssel frei, ohne von der Person am Gerät irgendetwas zu verlangen — genau die Eigenschaft, die physische Angriffe wie dieser ausnutzen.

Die Nightmare-Eclipse-Serie: Was geschlossen ist und was offen bleibt

GreenPlasma und YellowKey gehören zur Serie von Zero-Days, die der Forscher Nightmare Eclipse in den letzten Monaten ohne Abstimmung mit Microsoft veröffentlicht hat. Die Bilanz mit Stand heute: RedSun (CVE-2026-41091, die einzige der Serie, die nachweislich aktiv in realen Angriffen ausgenutzt wurde) und UnDefend (CVE-2026-45498), beide in Microsoft Defender, waren bereits Ende Mai mit außerplanmäßigen Updates behoben worden und zählen zum Juni-Rollup; BlueHammer wurde geschlossen, nachdem die aktive Ausnutzung begonnen hatte; mit diesem Patchday treten auch GreenPlasma, YellowKey und MiniPlasma ab.

Die Serie ist aber nicht zu Ende: Wenige Stunden nach Erscheinen der Patches hat derselbe Forscher einen neuen Zero-Day veröffentlicht, RoguePlanet, eine Race Condition in Microsoft Defender, die auf vollständig aktualisierten Systemen — Juni-Patches eingeschlossen — eine Shell mit SYSTEM-Rechten öffnet, mit einem von unabhängigen Forschern bereits bestätigten Proof of Concept und ohne verfügbare Korrektur. Das ist die Erinnerung daran, dass Patchen allein nicht reicht: Wenn eine Lücke öffentlich ist, aber kein Patch existiert, sind die praktischen Verteidigungslinien die verhaltensbasierte Erkennung — ein EDR/XDR, das Rechteausweitungen auch ohne Kenntnis der Schwachstelle meldet — und das Prinzip der minimalen Rechte, das begrenzt, was ein kompromittiertes Konto anrichten kann.

Das Druckproblem von KB5087424 auf Windows Server 2022

Während Microsoft 200 Lücken schloss, kämpften viele Administratoren mit einem profaneren Problem: Das Drucken funktioniert nicht mehr. Der Schuldige ist der Hotpatch KB5087424 vom 12. Mai 2026 für Windows Server 2022 Datacenter Azure Edition (Build 20348.5074): Nach der Installation startet die Komponente splwow64.exe nicht mehr und liefert den Fehler 0xc0000142 („Die Anwendung konnte nicht korrekt gestartet werden“).

splwow64 ist die Brücke zwischen 32-Bit-Anwendungen und dem 64-Bit-Drucksystem: Startet sie nicht, drucken die 32-Bit-Geschäftsanwendungen nicht mehr — und auch manche 64-Bit-Anwendungen nicht, die sie aufrufen, zum Beispiel Excel, das von automatisierten Abläufen über COM instanziiert wird, oder Umgebungen mit aktivierter Funktion „Druckertreiber von Anwendungen isolieren“. Der von HCL öffentlich dokumentierte Fall betrifft genau einen Domino-Server, der Excel steuert; die Berichte aus der Administratoren-Community decken Remote-Desktops und Sitzungshosts ab. Das typische Szenario ist der Remote-Desktop in der Cloud auf Azure mit aktivem Hotpatching: Die Benutzerin arbeitet in der Geschäftsanwendung, klickt auf Drucken, und nichts passiert.

Der heikle Punkt: Einen Monat nach der Veröffentlichung hat Microsoft das Problem noch nicht in die offiziellen Known Issues aufgenommen. Die bisher dokumentierten gangbaren Wege:

• 1Das kumulative Juni-Update installieren. Am 9. Juni erschien für den Hotpatch-Kanal von Windows Server 2022 ein Baseline-Update: ein vollständiges kumulatives Update mit Neustart, das den fehlerhaften Mai-Hotpatch komplett ersetzt. Es ist das erste natürliche Zeitfenster zur Rückkehr: installieren und sofort den Druck aus 32-Bit-Anwendungen prüfen.
• 2Die Druckertreiber-Isolierung deaktivieren („Isolate print drivers from applications“), sofern mit den eigenen Richtlinien vereinbar: So laufen Anwendungen nicht über splwow64, wo es nicht unbedingt nötig ist.
• 3Als letztes Mittel KB5087424 deinstallieren und die Neuinstallation blockieren, mit Neustart: Das stellt den Druck wieder her, entfernt aber auch die Sicherheitskorrekturen vom Mai — nur als vorübergehende Notlösung bis zum kumulativen Juni-Update zu betrachten.

Es gibt auch eine architektonische Lehre: Das Hotpatching — Sicherheitsupdates ohne Neustart, einer der Vorteile der Azure Edition — bleibt ein hervorragendes Werkzeug, muss aber von Funktionstests nach jedem Patch-Zyklus begleitet werden: Eine kurze Prüfung von Druck, Zugriff auf die Geschäftsanwendung und kritischen Abläufen direkt nach der Installation hätte das Problem am ersten Tag erkannt — nicht erst bei der ersten Rechnung, die gedruckt werden musste.

Was diese Woche zu tun ist: Checkliste in fünf Punkten

• 1Die Juni-Updates ausrollen auf Clients und Servern, mit Priorität für aus dem Internet erreichbare Systeme (HTTP/2 Bomb ist aus der Ferne ohne Authentifizierung ausnutzbar) und Domänencontroller (wegen der RCE in Active Directory Domain Services).
• 2Die BitLocker-Konfiguration der Laptops überprüfen: Wo reiner TPM-Schutz besteht und die Daten es rechtfertigen, TPM + Start-PIN aktivieren.
• 3Nach dem Patchen den Druck prüfen auf Windows-Server-2022-Systemen mit Hotpatching: Ein Test aus 32-Bit-Anwendungen zeigt sofort, ob das KB5087424-Problem mit dem kumulativen Juni-Update behoben ist.
• 4RoguePlanet kompensieren, solange kein Patch existiert: verhaltensbasierte Erkennung auf allen Endpunkten aktiv und Überprüfung der Konten mit lokalen Administratorrechten.
• 5Den Secure-Boot-Status der Flotte kontrollieren: Die Microsoft-Zertifikate von 2011 laufen am 24. Juni (KEK CA) und am 27. Juni (UEFI CA) ab. Die Geräte starten weiterhin, erhalten aber ohne die neuen Zertifikate keine Updates der Secure-Boot-Komponenten mehr.

Wie AtWorkStudio hilft

Für Kunden mit verwalteten Infrastrukturen folgt der Juni-Patch-Zyklus unserem Standardprozess: ringbasierte Verteilung, Funktionstests nach dem Update (Druck inklusive) und Monitoring. Wer selbst verwaltet und eine unabhängige Überprüfung wünscht: Ein Vulnerability Assessment erfasst die reale Exposition der Geräteflotte, und unsere Cybersecurity-Dienstleistungen decken ab, was Patchen allein nicht löst.

Wir sind seit 2000 von Piacenza aus tätig. Wir sind nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert, von der ACN (italienische Nationalagentur für Cybersicherheit) für Cloud-Dienste qualifiziert, Mitglied von Clusit (italienischer Verband für Informationssicherheit) und der Confindustria Piacenza im RICT-Cluster angeschlossen.