Microsoft-Patchday mit offenem Ende: Forscher legt RoguePlanet-Zero-Day nach

Am Patchday im Juni stuft Microsoft zahlreiche Sicherheitslücken in etwa Azure, M365, Exchange Online, Office und Windows als „kritisch“ ein. In vielen Fällen können Angreifer aus der Ferne ohne Authentifizierung Schadcode ausführen und Systeme vollständig kompromittieren.

Ein Zero Day nach dem anderen

Unter den nun geschlossenen Schwachstellen finden sich auch die BitLocker-Zero-Day-Lücken YellowKey (CVE-2026-45585 „mittel“) und GreenPlasma (CVE-2026-50507 „mittel“), die ein Sicherheitsforscher mit dem Pseudonym Nightmare Eclipse offengelegt hat. Nutzen Angreifer diese Lücken erfolgreich aus, können sie die BitLocker-Festplattenverschlüsselung umgehen.

Der Forscher hat aber noch mehr Zero Days in petto und legte direkt nach dem Patchday die RoguePlanet getaufte Schwachstelle in seinem Blog offen. Diese Lücke bedrohe Windows 10 und 11 im voll gepatchten Zustand. Ansatzpunkt ist erneut die Schutzsoftware Defender. Nach einer erfolgreichen Attacke sollen Angreifer mit Systemrechten dastehen.

Microsoft reagierte zügig auf die neue Bedrohung: Mit dem am Morgen des 10. Juni erschienenen Definitionsupdate 1.453.20.0 für Defender rüstet der Konzern eine Erkennung für RoguePlanet nach und verschiebt den Exploit in die Quarantäne. Die Erkennung ist unseren Experimenten zufolge jedoch allenfalls rudimentär: Mit einer trivialen Änderung im Quelltext des Proof-of-Concept-Exploits lässt sie sich in kürzester Zeit umgehen und erneut eine Shell mit Systemrechten ausführen.

Bislang gibt es keine Hinweise darauf, dass Angreifer die Schwachstelle bereits ausnutzen. Der anonyme Sicherheitsforscher hat eigenen Angaben zufolge noch weitere Zero Days in petto, die er eigentlich am 14. Juli veröffentlichen wollte. Weil er mit RoguePlanet zu viel zu tun hatte, verschiebt sich das jetzt aber. Einen konkreten Zeitraum nennt er derzeit nicht.

Weitere Gefahren

Offensichtlich war ein Fix für die bereits attackierte RedSun-Lücke (CVE-2026-41091 „hoch“) in der Malware Protection Engine von Defender nicht ausreichend, sodass Microsoft Ende Mai noch einmal eine Aktualisierung nachgelegt hat. In den Standardeinstellungen aktualisiert sich Defender automatisch. Die Korrektur listet Microsoft nun als zum Juni-Patchday gehörend auf.

Drei Schwachstellen in Windows (CVE-2026-49160 „hoch“, CVE-2026-50507 „mittel“, CVE-2026-45586 „hoch“) in HTTP.sys, BitLocker und Collaborative Translation Framework sind öffentlich bekannt und es können Attacken bevorstehen.

Drei „kritische“ Lücken bedrohen den Windows Kernel (CVE-2026-45657), Windows HTTP.sys (CVE-2026-47291) und Windows DHCP Client Service (CVE-2026-44815). An diesen Stellen können Angreifer Schadcode ausführen und Computer vollständig kompromittieren.

Weiterführende Informationen zu den an diesem Patchday geschlossenen Sicherheitslücken finden sich in Microsofts Security Update Guide.

(des)