Microsoft hat im Rahmen seines monatlichen Patch-Tages für Januar 2026 ein umfassendes Sicherheitspaket veröffentlicht, das insgesamt 113 Schwachstellen in Windows und zugehöriger Software adressiert. Unter den geschlossenen Lücken befinden sich acht als „kritisch“ eingestufte Fehler. Besondere Dringlichkeit besteht bei einer Schwachstelle, die laut Unternehmensangaben bereits aktiv von Angreifern ausgenutzt wird.
Das Wichtigste in Kürze
- Microsoft hat 113 Sicherheitslücken mit dem Januar-Update 2026 geschlossen.
- Eine Schwachstelle (CVE-2026-20805) wird bereits aktiv für Angriffe genutzt (Zero-Day).
- Acht der Fehler wurden als „kritisch“ eingestuft, darunter Lücken in Microsoft Office und Windows Secure Boot.
- Das Update entfernt zudem veraltete Modem-Treiber, die ein Sicherheitsrisiko darstellten.
- Nutzer sollten die Updates umgehend installieren, um ihre Systeme zu schützen.
Zero-Day-Schwachstelle erfordert sofortiges Handeln
Im Mittelpunkt der aktuellen Update-Runde steht die Sicherheitslücke mit der Kennung CVE-2026-20805. Diese betrifft den Desktop Window Manager (DWM), eine zentrale Komponente von Windows, die für die Darstellung von Fenstern auf dem Bildschirm zuständig ist. Obwohl die Lücke offiziell nur mit einem mittleren CVSS-Wert von 5,5 bewertet wurde, hat Microsoft bestätigt, dass sie bereits aktiv ausgenutzt wird.
Sicherheitsexperten warnen davor, die Gefahr aufgrund der niedrigeren Bewertung zu unterschätzen. Die aktive Ausnutzung durch Cyberkriminelle verleiht dieser Schwachstelle eine weitaus höhere Priorität.
Wie Angreifer die Lücke nutzen
Schwachstellen wie CVE-2026-20805 werden oft genutzt, um eine wichtige Sicherheitsfunktion namens Address Space Layout Randomization (ASLR) auszuhebeln. ASLR soll verhindern, dass Angreifer vorhersagen können, wo sich bestimmter Code im Arbeitsspeicher befindet. Gelingt es, diesen Schutz zu umgehen, können Angriffe, die auf die Ausführung von Schadcode abzielen, deutlich zuverlässiger und einfacher durchgeführt werden.
Kev Breen, leitender Direktor für Cyber-Bedrohungsforschung bei Immersive, erklärt die Vorgehensweise: „Indem diese Schwachstelle aufdeckt, wo sich Code im Speicher befindet, kann sie mit einem separaten Fehler zur Codeausführung verkettet werden.“ Dies verwandle einen komplexen und unzuverlässigen Exploit in einen praktischen und wiederholbaren Angriff.
„Da Microsoft nicht offengelegt hat, welche zusätzlichen Komponenten an einer solchen Exploit-Kette beteiligt sein könnten, ist die Fähigkeit der Verteidiger, proaktiv nach verwandten Aktivitäten zu suchen, erheblich eingeschränkt. Daher bleibt ein schnelles Patchen derzeit die einzige wirksame Gegenmaßnahme.“
Chris Goettl, Vizepräsident des Produktmanagements bei Ivanti, fügt hinzu, dass alle unterstützten Windows-Versionen betroffen sind. Er betont, dass eine risikobasierte Bewertung die Behandlung dieser Lücke als kritischer einstuft, als es die offizielle Bewertung vermuten lässt.
Kritische Fehler in Office und Secure Boot
Neben der aktiv ausgenutzten Lücke hat Microsoft acht weitere als „kritisch“ bewertete Schwachstellen behoben. Zwei davon betreffen Microsoft Office (CVE-2026-20952 und CVE-2026-20953) und sind besonders gefährlich. Ein Angreifer könnte Schadcode ausführen, indem er eine speziell präparierte Nachricht an ein Opfer sendet, das diese lediglich im Vorschaufenster von Outlook anzeigt. Ein aktives Öffnen der E-Mail ist nicht erforderlich.
Gefahr durch das Vorschaufenster
Angriffe über das Vorschaufenster sind eine bewährte Methode, da sie wenig Interaktion vom Nutzer erfordern. Allein das Auswählen einer infizierten E-Mail kann ausreichen, um das System zu kompromittieren. Dies unterstreicht die Wichtigkeit, Office-Anwendungen stets aktuell zu halten.
Problem bei Windows Secure Boot
Eine weitere kritische Lücke (CVE-2026-21265) betrifft die Sicherheitsfunktion Windows Secure Boot. Diese soll das System vor dem Start vor Schadsoftware wie Rootkits schützen. Das Problem hängt mit digitalen Zertifikaten aus dem Jahr 2011 zusammen, die im Juni und Oktober 2026 auslaufen. Ohne ein Update auf neue Zertifikate aus dem Jahr 2023 können betroffene Geräte keine zukünftigen Sicherheitsupdates für Secure Boot mehr erhalten.
Experten wie Adam Barnett von Rapid7 mahnen zur Vorsicht bei der Installation dieses speziellen Updates. Da es den Bootloader und das BIOS betrifft, können fehlerhafte Schritte dazu führen, dass das System nicht mehr startet. Eine sorgfältige Vorbereitung ist hier unerlässlich.
Microsoft entfernt alte Modem-Treiber
Ein bemerkenswerter Schritt in diesem Update-Zyklus ist die fortgesetzte Entfernung veralteter Gerätetreiber. Diesmal sind die Modem-Treiber agrsm64.sys und agrsm.sys betroffen. Diese Treiber, die seit Jahrzehnten Teil von Windows sind, stammen von einem nicht mehr existierenden Dritthersteller und enthalten bekannte Sicherheitslücken.
Die Entfernung steht im Zusammenhang mit der Schwachstelle CVE-2023-31096, die bereits vor über zwei Jahren veröffentlicht wurde. Obwohl Microsoft keine aktive Ausnutzung bestätigt, existiert funktionierender Exploit-Code, der eine Rechteerweiterung auf Systemebene ermöglicht. Für die meisten Nutzer wird die Entfernung unbemerkt bleiben, aber in industriellen Steuerungssystemen könnten solche Modems noch im Einsatz sein.
Adam Barnett kommentiert: „Zwei Fragen bleiben: Wie viele veraltete Modem-Treiber sind noch auf einem vollständig gepatchten Windows-System vorhanden? Und wie viele weitere Schwachstellen werden auftauchen, bevor Microsoft den Angreifern den Hahn zudreht?“
Wichtig ist hierbei: Ein Modem muss nicht einmal angeschlossen sein, um das System angreifbar zu machen. Die bloße Anwesenheit des anfälligen Treibers reicht aus.
Auch Browser-Hersteller veröffentlichen Updates
Nicht nur Microsoft, auch andere Softwarehersteller haben auf Sicherheitsprobleme reagiert. Mozilla hat Updates für Firefox und Firefox ESR veröffentlicht, die insgesamt 34 Schwachstellen beheben. Zwei davon (CVE-2026-0891 und CVE-2026-0892) stehen im Verdacht, bereits ausgenutzt zu werden.
Auch für Google Chrome und Microsoft Edge werden in Kürze entsprechende Sicherheitsupdates erwartet. Für Systemadministratoren und private Nutzer bedeutet dies, dass alle installierten Programme, insbesondere Webbrowser, dringend auf den neuesten Stand gebracht werden sollten.
Die Installation der von Microsoft bereitgestellten Patches sollte für alle Windows-Nutzer höchste Priorität haben, um die Sicherheit ihrer Systeme zu gewährleisten und sich vor den bekannten und aktiv ausgenutzten Bedrohungen zu schützen.
