Windows-Übersetzungsrahmenwerk: 0-Day-Schwachstelle ermöglicht Privilegien-Eskalation

Der zugrundeliegende Fehler wird als CWE‑59: Unzureichende Link-Auflösung vor dem Dateizugriff klassifiziert, auch bekannt als unsicheres „Link- ". Aufgrund dieser Schwachstelle kann CTFMON dazu verleitet werden, und Dateien mit erhöhten Berechtigungen zu öffnen oder auszuführen.

Microsoft hat das Problem eine „Important"-Schweregradbeurteilung und eine CVSS v3.1 Basisbewertung von 7,8 zugewiesen, mit dem Vektor AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.

Dies zeigt, dass der Angriff lokal erfolgt, eine geringe Komplexität aufweist, nur geringe Berechtigungen benötigt und keine Benutzerinteraktion erfordert, jedoch die Vertraulichkeit, Integrität und Verfügbarkeit erheblich beeinträchtigen kann.

Sicherheitslage und Risiko

Microsoft bestätigt, dass CVE‑2026‑45586 vor der Verfügbarkeit eines Patches öffentlich offengelegt wurde und daher als Zero-Day behandelt wird. Zum Zeitpunkt der Veröffentlichung gab es keine Berichte über eine Ausnutzung in der Wildnis, doch Microsofts Exploitability-Index stuft es als „Exploitation More Likely" ein.

Mehrere Patch-Tuesday-Analysen bezeichnen diesen CTFMON-Fehler als eines der wichtigsten Zero-Days Juni 2026-Batch. Bei erfolgreicher Ausnutzung ermöglicht die Schwachstelle einem Angreifer die Erlangung voller SYSTEM-Berechtigungen.

Dies macht die Schwachstelle besonders für Angreifer nützlich, die bereits über einen ersten Zugangspunkt verfügen, der durch Phishing, Malware oder gestohlene Zugangsdaten entstanden ist, und die nun ändige Kontrolle des Endpunkts ausweichen möchten.

Technischer Hintergrund

CVE‑2026‑45586 betrifft eine breite Palette unterstützter Windows-Client- und Serverversionen, einschließlich der Windows 10-, Windows 11- und Windows Server-Familien.

Microsoft hat Patches für Windows Server 2012 und 2012 R2, Windows Server 2016, 2019, 2022 und 2025 sowie für Windows 10 Versionen 1607, 1809, 21H2, 22H2 und Windows 11 Versionen 23H2, 24H2, 25H2 und 26H1 auf x64- und ARM64-Architekturen (wo zutreffend) veröffentlicht.

Jede Plattform wird über eine spezifische Knowledge Base (KB)-Artikel behoben, beispielsweise KB5094041/KB5094042 (Server 2012/2012 R2), KB5094122 (Windows 10 1607/Server 2016), KB5094123 (Windows 10 1809/Server 2019), KB5094128 (Server 2022), KB5094127 (Windows 10 21H2/22H2), KB5093998, KB5094126, KB5095051 und KB5094125 für Windows 11- und Windows Server 2025-Varianten.

Sicherheitslage und Risiko

Microsoft stuft diese als offizielle Patches mit bestätigter Meldungssicherheit ein. Der Angriff missbraucht unsicheres Link-Following in der Dateiverarbeitung, wodurch bösartige Links (wie symbolische Links oder Junctions) Dateioperationen auf können.

Wird diese Schwachstelle korrekt verkettet, führt dies aus einem Kontext mit geringen Berechtigungen zur Ausführung beliebigen Codes mit SYSTEM-Rechten. Sicherheitsanbieter veröffentlichen bereits Signaturen, Regeln und Leitfäden für diese Verwundbarkeit Rahmen ihrer Abdeckung 2026.

Bis die Patches vollständig ausgerollt sind, sollten Verteidiger die Aktivität, anomale Prozessbäume und verdächtige Link-Erstellungen in überwachen und gleichzeitig den schnellen Rollout der Patches auf hochwertigen Servern und Endpunkten priorisieren. Sie uns auf