Wurmfähiger Kernel-RCE: CVE-2026-45657 ist der gefährlichste Bug des Juni-Patchdays

CVSS 9.8, unauthentifiziert, SYSTEM – warum diese Lücke das Potenzial für das nächste WannaCry hat

Unter den rund 200 Lücken des Juni-Patchdays 2026 ragt eine heraus, die jeder Administrator kennen sollte: CVE-2026-45657, eine Remote-Code-Execution-Schwachstelle im Windows-Kernel mit einem CVSS-Wert von 9.8. Die Kombination ihrer Eigenschaften ist das, was sie so brisant macht – sie vereint genau die Merkmale, die historisch die schlimmsten Wurm-Ausbrüche ermöglicht haben.

Die toxische Kombination: entfernt ausnutzbar · ohne Authentifizierung · ohne Nutzerinteraktion · Codeausführung auf SYSTEM-Ebene · und ausdrücklich als wurmfähig eingestuft. Die Ursache liegt in der Art, wie der Kernel TCP/IP verarbeitet.

Warum „wurmfähig“ das entscheidende Wort ist

Eine wurmfähige Lücke braucht keinen Menschen, der auf etwas klickt, und keine gültigen Zugangsdaten. Ein kompromittiertes System kann das nächste angreifen, dieses wieder das übernächste – selbstständig und in Minuten. Genau dieses Muster hat 2017 WannaCry über die SMB-Lücke MS17-010 (EternalBlue) global ausgerollt und 2019 die Sorge um BlueKeep (CVE-2019-0708, RDP) ausgelöst. CVE-2026-45657 spielt in derselben Liga: Liegt der verwundbare Dienst im Netz frei, genügt ein einziger erreichbarer Host als Eintrittspunkt.

Nicht von der Einstufung täuschen lassen: Microsoft bewertet die Ausnutzungswahrscheinlichkeit aktuell als „Exploitation Less Likely“. Das heißt nur, dass zum Release noch kein fertiger Exploit kursierte – nicht, dass keiner kommt. Bei einer 9.8-Kernel-Lücke reverse-engineert die gesamte Offensive-Security-Szene den Patch derzeit, um genau das zu ändern. Das Zeitfenster bis zum ersten funktionierenden Exploit ist erfahrungsgemäß kurz.

Was Sie jetzt tun sollten

Sofort patchen – mit Priorität. Das Juni-2026-Kumulativupdate enthält den Fix. Diese Lücke gehört in die erste Patch-Welle, vor allen client-seitigen Bugs.
Exponierte Systeme zuerst. Internet-erreichbare Hosts und Systeme in flachen, unsegmentierten Netzen sind die gefährdetsten Eintrittspunkte.
Segmentieren als Schadensbegrenzung. Wurmfähig heißt: Der Schaden skaliert mit der Flachheit Ihres Netzes. Strikte Segmentierung und konsequente Perimeter-/Ost-West-Filterung begrenzen die Ausbreitung, falls ein Host doch fällt.
Build-Stand verifizieren. Verlassen Sie sich nicht auf das WSUS-Häkchen, sondern prüfen Sie den tatsächlichen OS-Build über die gesamte Flotte.
Monitoring schärfen. Achten Sie auf ungewöhnliche Kernel-Crashes und auffälligen Netzwerkverkehr zwischen Systemen, die sonst nicht miteinander sprechen.

# Schnelle Inventur: Ist das Juni-2026-Kumulativupdate installiert?
# (KB je nach OS: Server 2025 KB5094125, Server 2022 KB5094128,
#  Windows 11 KB5094126/KB5093998, Windows 10 KB5094127)
$kbs = 'KB5094125','KB5094128','KB5094126','KB5093998','KB5094127'
Get-HotFix | Where-Object { $kbs -contains $_.HotFixID } |
  Select-Object HotFixID, InstalledOn
# Kein Treffer? -> System ist mit hoher Wahrscheinlichkeit noch ungepatcht.

Fazit

Die meisten der 200 Juni-Lücken dürfen in den geordneten Patch-Zyklus – CVE-2026-45657 nicht. Wurmfähig, unauthentifiziert und auf SYSTEM-Ebene: Das ist die Sorte Bug, die aus einem einzelnen erreichbaren Host einen flächendeckenden Vorfall macht. Patchen Sie mit Priorität, und nutzen Sie die Gelegenheit, Ihre Netzsegmentierung ehrlich zu prüfen – denn die ist Ihre Versicherung für den Fall, dass beim nächsten Mal die Einstufung „Less Likely“ nicht hält.

Patch-Stand über die gesamte Flotte verifizieren?

Der ISW Windows Patch Compliance Analyzer zeigt fehlende Updates, KB-Stände und Build-Nummern zentral – ideal, um bei kritischen Lücken wie dieser in Minuten zu wissen, welche Systeme noch offen sind. Mehr auf isw-adtools.de.