Microsoft hat im Rahmen seines monatlichen Sicherheitsupdates eine kritische Schwachstelle in Microsoft Excel geschlossen. Die als CVE-2026-26144 registrierte Lücke ermöglicht es Angreifern, den integrierten KI-Assistenten Copilot zu missbrauchen, um sensible Daten zu stehlen – ohne dass der Nutzer eine Aktion ausführen muss.
Das Wichtigste in Kürze
- Eine kritische Sicherheitslücke (CVE-2026-26144) in Microsoft Excel wurde entdeckt.
- Angreifer können den KI-Assistenten Copilot nutzen, um Daten aus Tabellenkalkulationen zu extrahieren.
- Der Angriff erfordert keine Interaktion des Nutzers, was ihn besonders gefährlich macht.
- Microsoft hat bereits ein Sicherheitsupdate veröffentlicht, das dringend installiert werden sollte.
Ein neuer Angriffsvektor durch Künstliche Intelligenz
Die Sicherheitslücke stellt eine neue Art von Bedrohung dar, bei der künstliche Intelligenz direkt als Werkzeug für Cyberangriffe genutzt wird. Es handelt sich um einen sogenannten „Zero-Click“-Angriff. Das bedeutet, dass das bloße Vorhandensein einer manipulierten Excel-Datei auf einem System ausreichen kann, um den Angriff auszulösen, sofern Netzwerkzugriff besteht.
Die technische Ursache ist eine Cross-Site-Scripting-Schwachstelle. Angreifer können speziell präparierte Excel-Dateien erstellen, die den Copilot-Agenten dazu veranlassen, Daten aus der geöffneten Datei an einen externen Server zu senden. Dies geschieht im Hintergrund und ohne sichtbare Anzeichen für den Benutzer.
Was ist ein Zero-Click-Angriff?
Im Gegensatz zu Phishing-Angriffen, bei denen ein Nutzer auf einen Link klicken oder einen Anhang öffnen muss, benötigen Zero-Click-Angriffe keinerlei Interaktion. Sie nutzen Schwachstellen in Programmen aus, die Daten automatisch verarbeiten, beispielsweise beim Empfang einer Nachricht oder beim Anzeigen einer Dateivorschau. Diese Angriffe sind schwer zu erkennen und zu verhindern.
Besondere Gefahr für Unternehmen
Sicherheitsexperten warnen eindringlich vor den potenziellen Folgen dieser Schwachstelle, insbesondere in Unternehmensumgebungen. Excel-Tabellen enthalten häufig hochsensible Informationen, die für Angreifer von großem Wert sind.
- Finanzdaten: Bilanzen, Budgetplanungen und Gehaltslisten.
- Geistiges Eigentum: Forschungsdaten, Produktentwürfe und Geschäftsstrategien.
- Betriebsinterne Aufzeichnungen: Kundenlisten, interne Prozesse und Projektpläne.
Da der Angriff unbemerkt ablaufen kann, könnten Unternehmen Opfer von Datendiebstahl werden, ohne dass interne Sicherheitssysteme Alarm schlagen. Alex Vovk, CEO des Sicherheitsunternehmens Action1, betonte die Gefahr: „Wenn sie ausgenutzt wird, könnten Angreifer vertrauliche Informationen aus internen Systemen extrahieren, ohne offensichtliche Warnungen auszulösen.“
„Informationslecks sind in Unternehmensumgebungen besonders gefährlich, wo Excel-Dateien oft Finanzdaten, geistiges Eigentum oder betriebliche Aufzeichnungen enthalten.“
Weitere kritische Lücken im Office-Paket
Die Excel-Schwachstelle ist Teil eines größeren Sicherheitsupdates von Microsoft für den Monat März, das insgesamt 83 Lücken schließt. Acht davon wurden als kritisch eingestuft. Darunter befinden sich zwei weitere bedenkliche Schwachstellen in Microsoft Office, die ebenfalls ein hohes Risiko darstellen.
Vorsicht vor der Dateivorschau
Die Schwachstellen CVE-2026-26110 und CVE-2026-26113 ermöglichen die Ausführung von Schadcode allein durch die Vorschaufunktion im Datei-Explorer. Ein Nutzer muss eine schädliche Datei also nicht einmal vollständig öffnen, um sein System zu kompromittieren. Das bloße Anzeigen der Vorschau genügt.
Technische Details der Office-Schwachstellen
Bei der Lücke CVE-2026-26110 handelt es sich um einen sogenannten „Type Confusion“-Fehler. Dabei greift eine Anwendung auf eine Ressource mit einem inkompatiblen Datentyp zu, was zu einer fehlerhaften Speicherbehandlung führt. Angreifer können dies ausnutzen, um eigenen Code auszuführen.
Die Schwachstelle CVE-2026-26113 wird durch eine unsichere Zeiger-Dereferenzierung verursacht. Dabei manipuliert ein Angreifer, wie die Anwendung auf den Arbeitsspeicher zugreift, was ebenfalls zur Ausführung von Schadcode führen kann.
Experten wie Jack Bicer von Action1 warnen vor der zunehmenden Häufigkeit solcher Angriffe über die Vorschaufunktion. „Wenn eine einfache Dokumentenvorschau die Codeausführung auslösen kann, erhalten Angreifer eine direkte Tür ins System“, so Bicer.
Handlungsempfehlungen für Nutzer und Administratoren
Angesichts der Schwere der Sicherheitslücken ist schnelles Handeln erforderlich. Die wichtigste Maßnahme ist die umgehende Installation der von Microsoft bereitgestellten Sicherheitsupdates.
Für den Fall, dass ein Update nicht sofort eingespielt werden kann, empfehlen Experten zusätzliche Vorsichtsmaßnahmen:
- Netzwerkverkehr einschränken: Beschränken Sie ausgehende Netzwerkverbindungen von Office-Anwendungen, um die Datenexfiltration zu erschweren.
- Netzwerkaktivitäten überwachen: Achten Sie auf ungewöhnliche Netzwerkanfragen, die von Excel-Prozessen ausgehen.
- Copilot-Agenten einschränken: Deaktivieren oder beschränken Sie die Funktionalität des Copilot-Agenten, bis der Patch installiert ist.
- Vorschaufenster deaktivieren: Um das Risiko durch die anderen Office-Lücken zu minimieren, kann das Vorschaufenster im Datei-Explorer deaktiviert werden.
Diese Schwachstellen unterstreichen die wachsende Komplexität der Cybersicherheit im Zeitalter der künstlichen Intelligenz. Sie zeigen, dass neue Technologien nicht nur Chancen, sondern auch neue Angriffsflächen schaffen, auf die sich Unternehmen und Privatnutzer einstellen müssen.
