Juni-Patchday, Microsoft

Juni-Patchday: Microsoft schließt 206 Lücken mit drei Zero-Days

13.06.2026 - 19:34:41 | boerse-global.de

Microsoft schließt Rekordzahl an Sicherheitslücken und führt Standortermittlung in Teams mit neuen Datenschutzregeln wieder ein.

Microsoft Patchday: 206 Lücken geschlossen und Teams-Ortung kehrt zurück
Juni-Patchday - A glowing blue padlock icon superimposed over a blurred Microsoft Teams interface on a laptop screen, with subtle data streams. 13.06.2026 - Bild: über boerse-global.de

Der Juni-Patchday bringt Rekordzahlen: Microsoft hat 206 Schwachstellen geschlossen, darunter drei kritische Zero-Day-Lücken. Gleichzeitig führt der Konzern umstrittene Ortungsfunktionen für Teams mit strengeren Datenschutzvorgaben wieder ein.

Anzeige

Die neuen Ortungsfunktionen und Cloud-Regeln in Microsoft 365 erfordern ein präzises Risikomanagement. In diesem kostenlosen E-Book erfahren Sie, wie Sie eine rechtssichere Datenschutz-Folgenabschätzung erstellen und Bußgelder von bis zu 2 % des Jahresumsatzes vermeiden. Muster-DSFA und Checklisten jetzt kostenlos herunterladen

Rekord-Patchday: Diese Lücken sind besonders gefährlich

Am 12. Juni 2026 veröffentlichte Microsoft sein monatliches Sicherheitsupdate. Die 206 Patches adressieren unter anderem drei öffentlich bekannte Zero-Day-Schwachstellen (CVE-2026-45586, CVE-2026-49160 und CVE-2026-50507). Zwar wurden diese bislang nicht aktiv ausgenutzt, doch Sicherheitsexperten raten zur sofortigen Installation – insbesondere für Windows-, Office- und Exchange-Umgebungen.

Besonders brisant für mobile Mitarbeiter: Die kritischen Wi-Fi-Treiber-Lücken CVE-2024-30068 und CVE-2024-30069. Sie könnten für Standort-Manipulationen genutzt werden – ein Risiko, das zeitgleich mit den neuen automatischen Ortungsfunktionen von Microsoft besonders relevant wird.

Teams-Ortung: Zurück, aber anders

Microsoft führt die automatische Standortermittlung in Teams und Outlook wieder ein. Die Funktion, die in das Microsoft-Places-Programm integriert ist, soll manuelle Status-Updates und Hardware-Check-ins ersetzen. Sie nutzt Firmen-WLAN oder GPS-Daten, um den Arbeitsort automatisch zu aktualisieren.

Die Neuerung kommt mit wichtigen Zugeständnissen an den Datenschutz:

  • Bewegungsprofile werden nicht gespeichert
  • Die Ortung beschränkt sich auf Arbeitskontexte und Firmennetzwerke
  • Nutzer können den Standort manuell überschreiben oder die Funktion komplett deaktivieren
  • Administratoren wählen zwischen Opt-in- und Opt-out-Modell

Datenschutzorganisationen empfehlen Unternehmen dringend, eine Datenschutz-Folgenabschätzung durchzuführen und den Microsoft-Graph-Zugriff streng zu kontrollieren. Sonst droht Missbrauch der Standortdaten für unerlaubte Anwesenheitskontrollen.

Strengere Regeln für Cloud-Speicher

Microsoft verschärft seine Datenverwaltung. Ab Juli 2026 werden nicht lizenzierte OneDrive-for-Business-Konten nach 365 Tagen ohne Zahlung gelöscht – und zwar unabhängig von bestehenden Aufbewahrungsrichtlinien oder eDiscovery-Sperren. Ausgenommen sind vorerst Bildungs- und Regierungsmandanten.

Parallel dazu erweitert Microsoft seinen Archive-Dienst: Seit Juni 2026 können Administratoren einzelne Dateien und Ordner ins Kalt-Speicher verschieben, ohne ganze SharePoint-Seiten archivieren zu müssen. Der Dienst ist laut Microsoft bis zu 75 Prozent günstiger als der Standardspeicher. Ein Nebeneffekt: Archivierte Dateien verschwinden aus dem aktiven Copilot-Index – was die Qualität der KI-generierten Antworten verbessern kann.

Anzeige

Der Schutz sensibler Unternehmensdaten in der Cloud und im Home-Office bleibt eine der größten Herausforderungen für die IT-Sicherheit. Dieser kostenlose Ratgeber zeigt Ihnen in 4 Schritten, wie Sie Phishing-Angriffe stoppen und Ihr Unternehmen wirksam gegen Cyberkriminalität absichern. Kostenloses Anti-Phishing-Paket sichern

Phishing-Welle und Supply-Chain-Angriff

Die Bedrohungslage für Microsoft-365-Umgebungen hat sich drastisch verschärft. Bereits im Mai 2026 registrierten Sicherheitsforscher einen 37,5-fachen Anstieg von Phishing-Seiten, die den OAuth-Gerätecode-Fluss ausnutzen. Werkzeuge wie EvilTokens und Tycoon2FA ermöglichen Angreifern, Sitzungstoken zu stehlen – ohne jemals ein Passwort zu benötigen. Experten empfehlen, den Gerätecode-Fluss per Conditional-Access-Richtlinien zu blockieren, wo er nicht zwingend erforderlich ist.

Ein weiterer Schock: Am 5. Juni 2026 kompromittierte der Miasma-Wurm – eine Variante von Mini Shai-Hulud – 73 Microsoft-GitHub-Repositories. Der Angriff legte globale CI/CD-Pipelines lahm. Die Angreifer nutzten gestohlene Zugangsdaten aus einem früheren Vorfall, die nicht vollständig zurückgesetzt worden waren. Der Vorfall unterstreicht, wie wichtig eine gründliche Passwort-Rotation nach jedem Sicherheitsvorfall ist.

Neue Sicherheitslösungen für MSPs

Um der wachsenden Bedrohungslage zu begegnen, bringt der Markt neue Werkzeuge. Im Juni 2026 launchte inforcer eine Threat-Detection-and-Response-Plattform speziell für Managed Service Provider. Die Lösung integriert Telemetriedaten aus Microsoft Entra, Defender und Purview und filtert Fehlalarme durch mandantenspezifische Kontextinformationen heraus.

Ebenfalls am 12. Juni 2026: RoboShadow ist jetzt im Pax8-Marktplatz verfügbar. Das Tool bietet MSPs automatisierte Schwachstellenanalyse und Reparatur für Microsoft 365 – und soll den manuellen Verwaltungsaufwand für IT-Dienstleister deutlich reduzieren.

de | wissenschaft | 69535381 |