
Microsoft sloot op 9 juni meer dan tweehonderd kwetsbaarheden, waaronder zes zero-days en een wormbare kernelfout met CVSS 9.8. Exchange Server bleek al weken actief aangevallen vóór de patch uitkwam. Wat IT-teams nu moeten patchen en hoe je prioriteert als de lijst te lang is.
Elke tweede dinsdag van de maand publiceert Microsoft zijn beveiligingsupdates. De meeste maanden zijn dat er zeventig tot honderd, verspreid over Windows, Office en server-software. Op 9 juni 2026 was het anders. Microsoft sloot meer dan tweehonderd kwetsbaarheden in één release — een recordaantal — waaronder zes zero-days en een kernelfout die wormbaar is en geen gebruikersinteractie vereist. Voor IT-teams die een druk patchschema bijhouden, is dit een release die onmiddellijke aandacht verdient.
Dit artikel bespreekt de drie meest urgente kwetsbaarheden, legt uit waarom Exchange bijzonder alarmerend is en geeft een praktisch prioriteringsmodel voor organisaties die niet tegelijk alles kunnen patchen.
Een typische Patch Tuesday bevat kwetsbaarheden die Microsoft als 'kritiek' beoordeelt, maar waarbij de exploitatie complex is of gebruikersinteractie vereist. De juni-release bevat meerdere kwetsbaarheden waarbij dit niet het geval is. De wormbare kernelfout hoeft door een aanvaller niet te worden getriggerd via social engineering of een kwaadaardige bijlage. Het volstaat om speciaal geconstrueerd netwerkverkeer naar een kwetsbaar systeem te sturen.
Dat maakt de impact fundamenteel anders dan de doorsnee kritieke kwetsbaarheid. Zodra één systeem op een netwerk wordt getroffen, kan de aanval zich automatisch verspreiden naar andere kwetsbare machines op datzelfde segment. Dat is precies de reden waarom wormbaarheid zo zwaar weegt bij prioritering.
CVE-2026-45657 is een remote code execution-kwetsbaarheid in de Windows Kernel met een CVSS-score van 9.8 — de hoogst mogelijke risicocategorie. De fout zit in hoe Windows TCP/IP-verkeer verwerkt op kernelniveau. Een aanvaller zonder authenticatie kan, zonder enige interactie van een gebruiker, een kwaadaardige payload sturen die willekeurige code uitvoert met SYSTEM-rechten.
De kwetsbaarheid treft Windows 11 in alle huidige versies, waaronder 23H2, 24H2 en 25H2, en Windows Server 2022 en Server 2025. Systemen die niet direct via internet bereikbaar zijn maar wel op een intern netwerk staan met kwetsbare collega-machines, zijn evengoed in gevaar zodra de worm het netwerk binnenkomt.
De patch van Microsoft lost de fout op door de verwerking van TCP/IP-pakketten op kernelniveau te herschrijven. Er is geen tijdelijke maatregel beschikbaar die de functionaliteit behoudt. Patchen is de enige effectieve oplossing.
CVE-2026-42897 is een pre-authenticatie remote code execution-kwetsbaarheid in Exchange Server's Outlook on the Web (OWA)-component met een CVSS-score van 9.8. De bijzondere omstandigheid hier is dat de kwetsbaarheid al weken actief werd misbruikt vóórdat Microsoft op 9 juni de definitieve patch vrijgaf.
De aanval werkt via improper deserialization in de OWA-proxymodule: een aanvaller stuurt een kwaadaardige serialized payload naar het publieke OWA-eindpunt, zonder inloggegevens te hoeven hebben. De server verwerkt de payload en de aanvaller krijgt code-executie op het Exchange-systeem zelf. Eenmaal binnen is privilege escalation naar Domain Admin historisch eenvoudig vanuit een Exchange-compromis, omdat Exchange standaard uitgebreide rechten heeft in Active Directory.
Organisaties die Exchange Server on-premises draaien — Exchange 2019 is nog veelgebruikt bij hybride Microsoft 365-implementaties — moeten de patch van 9 juni als absolute prioriteit behandelen. Wie Exchange nog niet heeft gepatcht, moet ervan uitgaan dat actieve aanvalscampagnes lopen.
Een kwetsbaarheid die minder aandacht krijgt maar operationeel gevaarlijk is, zit in Microsoft Defender zelf. CVE-2026-41091 is een Elevation of Privilege-fout met CVSS 7.8. Een lokale aanvaller kan via een race condition in de Defender-service zijn rechten verhogen naar SYSTEM-niveau. Deze kwetsbaarheid wordt actief uitgebuit in het wild.
Dat Microsoft Defender zelf een aanvalsvector is, illustreert iets dat securityteams goed moeten internaliseren: beveiligingssoftware is ook software, en beveiligingssoftware met hoge systeemrechten is een aantrekkelijk doelwit. De patch sluit de race condition. Totdat die is geïnstalleerd, vormt elk systeem met Defender en een kwaadwillende lokale gebruiker of actieve malware-infectie een verhoogd risico.
Bij meer dan tweehonderd updates tegelijk is prioritering geen luxe maar een noodzaak. Een bruikbaar model werkt in drie lagen.
Laag één: internet-facing systemen. Exchange Server, remote desktop-gateways, VPN-concentrators, webservers en API-gateways. Dit zijn de systemen die een aanvaller het eerste kan bereiken zonder voet aan de grond nodig te hebben. Voor CVE-2026-42897 betekent dit: alle Exchange-servers die OWA publiek beschikbaar hebben, vandaag patchen.
Laag twee: domein-infrastructuur en geprivilegieerde endpoints. Domain controllers, admin-werkstations, systemen met Defender for Endpoint geïnstalleerd en systemen die verwerking doen van gevoelige data. Hier vallen CVE-2026-45657 en CVE-2026-41091 onder: kernel-updates voor alle actieve Windows-systemen in dit segment.
Laag drie: de rest van de vloot. Werkstations van eindgebruikers, legacy-systemen in isolatie en thinclients. Hier geldt een iets ruimere deadline, maar ook deze systemen moeten binnen de normale patchcyclus worden bijgewerkt — een wormbaar lek blijft een wormbaar lek ook als het niet meteen wordt uitgebuit.
Ten eerste, activeer de updates onmiddellijk voor internet-facing servers. Gebruik de Microsoft Security Update Guide om te filteren op CVSS 9.0 of hoger en op 'exploited: yes'. Die lijst bepaalt de volgorde van de komende achtenveertig uur.
Ten tweede, gebruik Windows Autopatch of Intune Update Rings om de Windows 11 kernel-update binnen vijf werkdagen op alle endpoints te krijgen. Voor organisaties die Windows Autopatch al gebruiken maar Exchange nog handmatig beheren, is dat handmatige Exchange-beheer nu de bottleneck.
Ten derde, documenteer tijdelijk niet-patchbare uitzonderingen. Systemen die niet onmiddellijk kunnen worden gepatcht vanwege kritieke bedrijfsprocessen, toepassingen die niet compatibel zijn met de update of beperkingen in onderhoud, moeten worden gedocumenteerd met een duidelijke compenserende maatregel: netwerksegmentatie, verhoogde monitoring, tijdelijk uitschakelen van externe bereikbaarheid.
Het recordaantal CVEs in juni is geen toeval. Het weerspiegelt een groeiende trend: aanvallers professionaliseren sneller dan de gemiddelde patchsnelheid van organisaties. Tegelijkertijd vergroot de toenemende connectiviteit tussen cloud, on-premises en endpoint het aanvalsoppervlak elke maand verder. De combinatie van wormbaarheid, pre-auth aanvallen en actieve exploitatie vóór de patchdatum maakt duidelijk dat een maandelijkse patchcyclus voor kritieke systemen niet meer volstaat.
Organisaties die hun patch- en kwetsbaarheidsbeheer willen aanscherpen, die Intune willen inzetten voor geautomatiseerde Windows-updates of die hun Exchange-omgeving naar Exchange Online willen migreren om dit soort on-premises risico's te elimineren: Zarioh helpt u dat structureel in te richten. Neem contact op voor een gesprek over uw huidige patchstrategie.
Was dit artikel nuttig?
Zarioh Digital Solutions
IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.

Security

Security

Security