Microsoft hat im Rahmen des Februar-Patch-Tuesday 2026 ein umfassendes Sicherheitspaket veröffentlicht, das 58 Schwachstellen in verschiedenen Produkten behebt. Besonders kritisch sind sechs dieser Lücken, die bereits aktiv von Angreifern ausgenutzt werden. Drei davon waren zudem öffentlich bekannt, bevor ein offizieller Patch zur Verfügung stand.
Für Nutzer von Windows und anderen Microsoft-Produkten ist eine sofortige Installation der Updates dringend empfohlen, um Systeme vor potenziellen Angriffen zu schützen. Die Updates adressieren eine breite Palette von Risiken, von der unbefugten Ausführung von Code bis hin zur Erlangung von Systemrechten.
Wichtige Fakten
- Insgesamt 58 Sicherheitslücken wurden im Februar 2026 geschlossen.
- Sechs der Schwachstellen werden bereits aktiv für Angriffe genutzt (Zero-Day-Exploits).
- Fünf der behobenen Lücken wurden als „kritisch“ eingestuft.
- Die Updates betreffen unter anderem Windows, Office und verschiedene Azure-Dienste.
- Ein Update für Secure Boot wird ebenfalls verteilt, um auslaufende Zertifikate zu ersetzen.
Ein kritischer Patch-Tag für Windows-Nutzer
Der monatliche Patch-Day von Microsoft ist für IT-Administratoren und private Nutzer ein fester Termin im Kalender. Die Veröffentlichung im Februar 2026 sticht jedoch durch die hohe Anzahl an aktiv ausgenutzten Schwachstellen hervor. Diese sogenannten Zero-Day-Lücken stellen eine unmittelbare Bedrohung dar, da Angreifer bereits über funktionierende Methoden verfügen, um sie auszunutzen, während die Systeme noch ungeschützt sind.
Die Verteilung der 58 behobenen Schwachstellen zeigt, wo die größten Risiken lagen. Die Mehrheit der Lücken ermöglichte eine Erhöhung von Berechtigungen, was Angreifern tiefere Eingriffe in kompromittierte Systeme erlaubt.
Schwachstellen nach Kategorie
- Rechteerweiterung: 25
- Umgehung von Sicherheitsfunktionen: 5
- Remotecodeausführung: 12
- Informationspreisgabe: 6
- Denial of Service: 3
- Spoofing: 7
Diese Zahlen verdeutlichen die Vielfalt der Bedrohungen, denen Nutzer ausgesetzt waren. Insbesondere die zwölf Lücken zur Remotecodeausführung sind gefährlich, da sie es Angreifern theoretisch ermöglichen, über ein Netzwerk Schadcode auf einem fremden Rechner auszuführen.
Die sechs Zero-Day-Lücken im Detail
Im Zentrum der Aufmerksamkeit stehen die sechs Sicherheitslücken, für die bereits aktive Angriffe bestätigt wurden. Microsoft stuft eine Lücke als Zero-Day ein, wenn sie öffentlich bekannt ist oder bereits ausgenutzt wird, bevor ein offizieller Patch existiert. Drei der aktuellen Zero-Days waren sogar öffentlich dokumentiert, was den Druck auf Microsoft erhöhte, schnell zu handeln.
1. Umgehung von Sicherheitsfunktionen (CVE-2026-21510, CVE-2026-21513, CVE-2026-21514)
Eine Gruppe von drei Schwachstellen zielt darauf ab, etablierte Sicherheitsmechanismen in Windows und Office auszuhebeln. CVE-2026-21510 betrifft die Windows Shell und kann durch das Öffnen eines speziell präparierten Links oder einer Verknüpfung ausgenutzt werden. Dadurch werden Sicherheitswarnungen wie Windows SmartScreen umgangen.
Eine weitere Lücke (CVE-2026-21513) im MSHTML-Framework, der alten Browser-Engine von Internet Explorer, ermöglicht ebenfalls die Umgehung von Schutzmaßnahmen. Die dritte Schwachstelle in dieser Gruppe, CVE-2026-21514, betrifft Microsoft Word. Ein Angreifer muss das Opfer hier dazu bringen, ein manipuliertes Office-Dokument zu öffnen, um Sicherheitsvorkehrungen zu umgehen. Die Entdeckung dieser drei Lücken wurde unter anderem dem Microsoft Threat Intelligence Center (MSTIC) und der Google Threat Intelligence Group zugeschrieben.
2. Eskalation von Rechten (CVE-2026-21519, CVE-2026-21533)
Zwei weitere aktiv ausgenutzte Lücken erlauben Angreifern, ihre Rechte auf einem System zu erweitern. CVE-2026-21519 im Desktop Window Manager kann einem Angreifer volle SYSTEM-Privilegien verschaffen, die höchste Berechtigungsstufe in Windows.
Die zweite Lücke (CVE-2026-21533) betrifft die Windows Remote Desktop Services. Laut dem Sicherheitsunternehmen CrowdStrike, das die Lücke entdeckte, kann ein Angreifer damit einen neuen Benutzer zur Administratorengruppe hinzufügen.
„Der Exploit für CVE-2026-21533 modifiziert einen Dienstkonfigurationsschlüssel und ersetzt ihn durch einen vom Angreifer kontrollierten Schlüssel, was es Angreifern ermöglichen könnte, Privilegien zu eskalieren, um einen neuen Benutzer zur Administratorengruppe hinzuzufügen.“ – Adam Meyers, Head of Counter Adversary Operations, CrowdStrike
3. Denial of Service (CVE-2026-21525)
Die sechste Zero-Day-Lücke betrifft den Windows Remote Access Connection Manager und kann zu einem Denial-of-Service-Zustand führen. Das bedeutet, ein Angreifer kann den Dienst oder potenziell das gesamte System zum Absturz bringen. Die Sicherheitsfirma ACROS Security entdeckte den Exploit in einem öffentlichen Malware-Archiv, was darauf hindeutet, dass er bereits seit einiger Zeit im Umlauf ist.
Wichtige Hintergrund-Updates für die Systemsicherheit
Neben den direkten Sicherheitsfixes hat Microsoft eine weitere wichtige Änderung auf den Weg gebracht. Mit den aktuellen Updates beginnt die Verteilung neuer Secure-Boot-Zertifikate. Diese sind ein fundamentaler Bestandteil der Windows-Sicherheitsarchitektur und stellen sicher, dass beim Start des Betriebssystems nur vertrauenswürdige Software geladen wird.
Was ist Secure Boot?
Secure Boot ist eine Sicherheitsfunktion im UEFI-Standard (dem Nachfolger des BIOS), die das Laden von nicht autorisierten Betriebssystemen oder Treibern während des Startvorgangs verhindert. Es schützt vor bestimmten Arten von Malware wie Rootkits, die sich tief im System einnisten. Die digitalen Zertifikate, die die Vertrauenswürdigkeit der Software bestätigen, haben jedoch ein Ablaufdatum.
Die ursprünglichen Zertifikate aus dem Jahr 2011 laufen Ende Juni 2026 aus. Um einen reibungslosen Übergang zu gewährleisten, verteilt Microsoft die neuen Zertifikate schrittweise an Systeme, die als stabil und updatefähig eingestuft wurden. Dieser vorsichtige Ansatz soll Kompatibilitätsprobleme vermeiden.
Weitere Updates von anderen Anbietern
Der Februar war auch für andere große Softwarehersteller ein geschäftiger Monat. Zahlreiche Unternehmen haben ebenfalls Sicherheitsupdates veröffentlicht, um ihre Produkte abzusichern. Dazu gehören:
- Adobe: Updates für Audition, After Effects, InDesign und weitere Produkte.
- Cisco: Sicherheitspatches für Secure Web Appliance und Cisco Meeting Management.
- Fortinet: Updates für die Produkte FortiOS und FortiSandbox.
- SAP: Monatliche Sicherheitsupdates, darunter zwei kritische Fehlerbehebungen.
Diese breite Welle an Updates unterstreicht die ständige Notwendigkeit für Unternehmen und private Nutzer, ihre Software auf dem neuesten Stand zu halten. Die koordinierten Veröffentlichungen helfen dabei, Sicherheitslücken systematisch zu schließen, bevor sie in großem Stil ausgenutzt werden können.
Handlungsempfehlung für alle Windows-Nutzer
Aufgrund der Schwere der behobenen Lücken, insbesondere der sechs aktiv ausgenutzten Zero-Day-Schwachstellen, ist eine umgehende Installation der bereitgestellten Updates unerlässlich. Windows-Nutzer sollten die Windows-Update-Funktion aufrufen und sicherstellen, dass alle verfügbaren Sicherheitsupdates installiert werden.
Für Unternehmen ist es entscheidend, die Patches nach internen Tests so schnell wie möglich auf allen Systemen auszurollen, um die Angriffsfläche zu minimieren. Die hohe Anzahl an Lücken zur Rechteerweiterung macht deutlich, dass selbst ein kleiner Einbruch schnell zu einer vollständigen Übernahme des Systems führen kann.
