Betroffene Windows-Systeme

CVE-2026-42904 ist eine Schwachstelle im Windows TCP/IP-Stack. Der Angriffsvektor liegt nicht auf einem beliebigen Internetpfad, sondern im angrenzenden Netzwerk. Fuer Betreiber ist das trotzdem relevant: Client-LANs, WLANs, VPN-nahe Netze, Laborsegmente, Produktionsnetze und gemeinsam genutzte Admin- oder Servernetze sind oft weniger sauber getrennt als dokumentiert.

Betroffen sind aktuelle Windows-Client- und Server-Versionen, darunter Windows 10, Windows 11, Windows Server 2022 und Windows Server 2025. Bei erfolgreicher Ausnutzung sind SYSTEM-Rechte moeglich. Auch ohne bekannte aktive Ausnutzung gehoert die Schwachstelle wegen CVSS 9.6 und der Netzwerknaehe in die kurze Patch-Warteschlange.

Was jetzt nachgewiesen werden sollte

  1. Patchstand erfassen: Windows-10-, Windows-11-, Windows-Server-2022- und Windows-Server-2025-Systeme gegen die Juni-2026-Sicherheitsupdates oder neuere kumulative Updates abgleichen.
  2. Builds stichprobenfest pruefen: Fuer Windows Server 2022 mindestens Build 20348.5256, fuer Windows Server 2025 mindestens Build 26100.32995 nachweisen. Windows-11- und Windows-10-Ringe entsprechend ihrer Version gegen die freigegebenen Juni-Builds pruefen.
  3. Neustarts abschliessen: Installation allein reicht nicht. Reboot-Status, ausstehende Neustarts und fehlgeschlagene Updateversuche muessen sichtbar sein.
  4. LAN-nahe Systeme priorisieren: Admin-Workstations, Jump Hosts, Terminalserver, VDI, Kiosk-Systeme, Schulungsnetze, Fertigung, Labor, VPN-Einwahl und gemeinsam genutzte WLANs zuerst bewerten.
  5. Segmentgrenzen pruefen: Client-zu-Client-Kommunikation, breite Servernetze und ungeplante Erreichbarkeit zwischen VPN, WLAN und Serversegmenten nicht als gegeben akzeptieren.

Fuer gemischte Client- und Servernetze

Die Schwachstelle ist ein guter Anlass, Patchmanagement und Netzsegmentierung gemeinsam zu betrachten. Wenn ein Angreifer aus einem schwach kontrollierten Client- oder VPN-Segment viele Windows-Systeme direkt erreichen kann, wird ein angrenzender Netzwerkvektor praktisch deutlich wertvoller.

Kurzfristig zaehlt der Patchnachweis. Parallel sollten besonders flache Netze, Ausnahmen in Host-Firewalls und historische Allow-Regeln auf den Tisch. Kritische Systeme muessen nicht aus jedem Arbeitsplatz-, WLAN- oder VPN-Netz direkt erreichbar sein.

Wenn nur ein Schritt sofort geht: Juni-Patchstand und Neustartstatus fuer LAN-nahe Windows-Systeme nachweisen und unnoetige Ost-West-Erreichbarkeit reduzieren.