Windows-DNS-Client: Microsoft warnt vor kritischer Lücke (CVSS 10.0)

Microsoft schlägt Alarm: Eine als CVE-2026-41096 registrierte Schwachstelle im Windows-DNS-Client ermöglicht Angreifern die vollständige Übernahme betroffener Systeme. Die Sicherheitsforscher bewerten das Risiko mit der Maximalnote 10.0 auf dem CVSS-Score.

IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Kostenloses Cyber-Security-E-Book jetzt herunterladen

Angriff aus der Ferne ohne Authentifizierung

Die Verwundbarkeit erlaubt es nicht authentifizierten Angreifern, aus der Ferne Schadcode mit erhöhten Rechten auszuführen. Experten stufen die Bedrohung als extrem kritisch ein und empfehlen Unternehmen, die Mai-Updates von Microsoft umgehend zu installieren.

Die Entdeckung reiht sich in eine Serie schwerwiegender Sicherheitslücken ein. Bereits Ende Mai wurde ein Stack-basierter Pufferüberlauf in Windows Netlogon (CVE-2026-41089, CVSS 9.8) gemeldet. Das belgische Zentrum für Cybersicherheit bestätigte am 29. Mai, dass diese Lücke nun aktiv gegen Domänencontroller ausgenutzt wird.

Streit um Exploit-Veröffentlichung

Die Sicherheitslage verschärft sich durch einen öffentlichen Konflikt zwischen Microsoft und dem Sicherheitsforscher Nightmare Eclipse. Am 31. Mai veröffentlichte der Forscher Exploit-Code für mehrere Windows-Zero-Day-Lücken, darunter Schwachstellen in Windows Defender und BitLocker.

Zu den veröffentlichten Exploits zählen BlueHammer (CVE-2026-33825) und RedSun (CVE-2026-41091). Der Forscher wirft Microsoft vor, seine Hinweise ignoriert und Konten gelöscht zu haben. Microsoft warnte vor erheblichen Risiken durch die unautorisierte Veröffentlichung und erwägt rechtliche Schritte.

Pwn2Own Berlin: 47 Zero-Day-Lücken entdeckt

Die Warnung zum DNS-Client fällt mit dem Abschluss des Pwn2Own Berlin 2026 zusammen, der heute zu Ende ging. Während des Wettbewerbs identifizierten Sicherheitsforscher 47 Zero-Day-Schwachstellen in Microsoft Exchange, SharePoint und Edge. Die Gesamtauszahlungen beliefen sich auf rund 1,3 Millionen Euro, wobei das führende Team über 500.000 Euro für seine Entdeckungen erhielt.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Gratis-Checkliste zur Cyber-Security sichern

Weitere kritische Bedrohungen im Überblick

Die Sicherheitslage bleibt angespannt:

• Flowise RCE: Eine kritische Lücke (CVE-2026-40933, CVSS 9.9) in Flowise-Versionen vor 3.1.0 – Exploit-Code wurde am 31. Mai veröffentlicht.
• GitHub Enterprise: Eine KI-gestützte Analyse enthüllte eine RCE-Schwachstelle (CVE-2026-3854). Während GitHub.com bereits im März gepatcht wurde, sind schätzungsweise 88 Prozent der On-Premises-Installationen noch ungeschützt.

Sicherheitsverantwortliche sollten ihre Patch-Management-Prozesse dringend überprüfen. Die aktive Ausnutzung mehrerer dieser Schwachstellen wurde in den letzten Tagen bestätigt.

de | wissenschaft | 69463161 |