Windows-RDP-Schwachstellen ermöglichen Angreifern Zugriff auf sensible Daten

Ein nicht authentifizierter Angreifer kann diese Fehler remote über das Netzwerk ausnutzen, ohne dass eine Interaktion durch einen Benutzer notwendig ist. Dies spiegelt sich im CVSS-Vektor AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N wider. Obwohl die Schwachstellen primär Informationspreisgaben darstellen, geben sie sensible Inhalte aus dem Speicher preis.

Diese Daten können in Kombination mit anderen Lücken genutzt werden, um effektivere Angriffe wie die Ausführung einer Sandbox zu ermöglichen. Microsoft bewertet die aktuelle Ausnutzbarkeit als „weniger wahrscheinlich". Zum Zeitpunkt der Veröffentlichung liegen keine öffentlichen Exploit-Tools oder Belege für eine Ausnutzung in der Wildnis vor.

Laut dem Warnhinweis Ausnutzung 2026-42908 jedoch lokale Speicheradressen enthüllen. Dies schwächt moderne Ausnutzungsabwehrmechanismen wie ASLR (Address Space Layout Randomization) erheblich. Bei CVE-2026-45639 kann ein Angreifer Teile des Prozessspeichers lesen.

Sicherheitslage und Risiko

Je nach den im betroffenen Speicherbereich gespeicherten Daten können so Zugangsdaten, Sitzungstoken oder Protokollzustandsdaten kompromittiert werden. Die Schwachstellen betreffen eine breite Palette, bei denen RDP verfügbar ist.

Dazu gehören Windows 10 (Versionen 21H2, 22H2, 1607, 1809), Windows 11 (Versionen 23H2, 24H2, 25H2, 26H1) sowie Windows Server 2012, 2012 R2, 2016, 2019, 2022 und 2025. Auch der Remote-Desktop-Client und der Windows-App-Client für Windows Desktop sind betroffen. Alle betroffenen Produkte erhalten Patches im Rahmen des Patch-Tuesday-Rollouts am 9. Juni 2026.

Beide CVEs sind mit CWE-125 (Out-of-bounds Read) verknüpft. Dies zeigt, dass die anfälligen RDP-Komponenten Daten außerhalb der Grenzen eines zugewiesenen Puffers lesen.

Sicherheitslage und Risiko

In der Praxis führt speziell konstruierter RDP-Verkehr dazu, dass der Dienst Daten aus benachbarten Speicherbereichen zurückgibt, statt ausschließlich die erwarteten Protokoll-Daten zu liefern. Da die Schwachstellen vor der Authentifizierung über das Netzwerk erreichbar sind, stellen sie für internetexponierte RDP-Endpunkte ein besonderes Risiko dar.

Auch Multi-Tenant-Umgebungen sind gefährdet, in denen ein Angreifer über gemeinsame Infrastruktur einen Informationsabfluss zwischen verschiedenen Tenants versuchen könnte.

Obwohl keine direkten Auswirkungen auf Integrität oder Verfügbarkeit vorliegen, macht die hohe Vertraulichkeitsauswirkung diese Fehler für Angreifer wertvoll, um zuverlässige Exploit-Ketten aufzubauen. Microsoft hat offizielle Patches veröffentlicht. Die empfohlene Gegenmaßnahme besteht darin, die Sicherheitsupdates vom 9.

Technischer Hintergrund

Juni 2026 oder die entsprechenden kumulativen/Rollup-Pakete für jede betroffene Windows-Version und RDP-Client-Build zu installieren. Administratoren sollten Systeme priorisieren, die RDP über das Internet aussetzen, sowie kritische Backend-Server, bei denen Speicherleckagen eine laterale Bewegung oder Privilegiensteigerung ermöglichen könnten.

Als allgemeine Hardening-Maßnahme sollten Organisationen den RDP-Zugriff hinter VPNs oder Bastion-Hosts einschränken, eine starke Authentifizierung durchsetzen und ungewöhnliche RDP-Verbindungsaktivitäten überwachen. Gleichzeitig analysiert die Community weiterhin diese Patches auf potenzielle Exploit-Primitiven.

SvyTech-Einordnung Die Schwachstellen betreffen den RDP-Stack, der als zentraler Bestandteil der Windows-Infrastruktur für Remote-Zugriffe dient. Die Tatsache, dass die Lücken vor der Authentifizierung ausnutzbar sind, unterstreicht die Dringlichkeit der Patches, insbesondere für Systeme, die dem Internet ausgesetzt sind.

Sicherheitslage und Risiko

Die Kombination aus hoher Vertraulichkeitsauswirkung und der Möglichkeit, moderne Schutzmechanismen wie ASLR zu umgehen, erhöht das Risiko für fortgeschrittene Angriffe signifikant. Was Leser daraus mitnehmen Administratoren sollten umgehend die Sicherheitsupdates vom 9.

Juni 2026 installieren, um die Systeme vor der Ausnutzung dieser Speicherzugriffsfehler zu schützen. Besonders kritisch sind Server und Endpunkte, die RDP-Dienste über das Internet anbieten. Zusätzlich empfiehlt es sich, den direkten RDP-Zugriff durch den Einsatz schützen und die Netzwerkaktivitäten kontinuierlich zu überwachen.