Microsoft hat außerplanmäßige Sicherheitsupdates für eine kritische Schwachstelle in Microsoft Office veröffentlicht, die bereits aktiv für Angriffe ausgenutzt wird. Die als CVE-2026-21509 geführte Sicherheitslücke ermöglicht es Angreifern, wichtige Schutzmechanismen zu umgehen und potenziell die Kontrolle über betroffene Systeme zu erlangen. Nutzer älterer Office-Versionen sind dringend zum Handeln aufgerufen.
Wichtige Erkenntnisse
- Eine als "hoch" eingestufte Zero-Day-Sicherheitslücke (CVE-2026-21509) in Microsoft Office wird aktiv ausgenutzt.
- Nutzer von Microsoft 365 und Office 2021 sind nach einem Neustart der Anwendungen weitgehend geschützt.
- Für Office 2016 und Office 2019 müssen zwingend manuelle Updates installiert werden.
- Microsoft hat zusätzlich eine manuelle Lösung über die Windows-Registrierung als Absicherung bereitgestellt.
Kritische Schwachstelle erfordert schnelles Handeln
Microsoft hat am Montag eine dringende Sicherheitswarnung herausgegeben. Eine neu entdeckte Schwachstelle, die unter der Kennung CVE-2026-21509 registriert ist, betrifft mehrere Versionen der weitverbreiteten Bürosoftware Microsoft Office. Das Problem wird mit einem CVSS-Wert von 7,8 von 10 als hochriskant eingestuft.
Die Lücke wird als Umgehung einer Sicherheitsfunktion beschrieben. Konkret hebelt sie die sogenannten OLE-Schutzmaßnahmen aus. Diese sind dafür konzipiert, Nutzer vor schädlichen COM/OLE-Steuerelementen zu schützen, die in Office-Dokumente eingebettet sein können. Durch die Ausnutzung der Lücke können Angreifer diese Schutzschicht umgehen.
Was ist eine Zero-Day-Schwachstelle?
Eine "Zero-Day"-Schwachstelle ist ein Softwarefehler, der den Entwicklern unbekannt ist und für den noch kein offizieller Patch existiert. Wenn Angreifer eine solche Lücke entdecken und ausnutzen, haben die Nutzer "null Tage" Zeit, sich zu schützen, da die Attacken beginnen, bevor eine Lösung verfügbar ist. Solche Lücken gelten als besonders gefährlich.
Wie funktioniert der Angriff?
Der Angriffsmechanismus ist für Cyberkriminelle relativ einfach umzusetzen. Der Angriff beginnt mit dem Versand einer speziell präparierten Office-Datei, beispielsweise eines Word-Dokuments oder einer Excel-Tabelle, per E-Mail an ein potenzielles Opfer.
Der entscheidende Schritt für einen erfolgreichen Angriff ist die Interaktion des Nutzers. Der Empfänger muss dazu gebracht werden, die schädliche Datei zu öffnen. Sobald das Dokument geöffnet wird, kann der eingebettete Code die Sicherheitslücke ausnutzen. Eine gute Nachricht ist, dass die Vorschaufunktion in Programmen wie Outlook (das "Preview Pane") laut Microsoft kein Angriffsvektor ist. Das bloße Anzeigen der E-Mail-Vorschau löst den Angriff also nicht aus.
Microsoft selbst hat die Schwachstelle durch interne Teams wie das Microsoft Threat Intelligence Center (MSTIC) und das Microsoft Security Response Center (MSRC) entdeckt, hat aber bisher keine technischen Details über die laufenden Angriffe oder deren Umfang veröffentlicht.
Welche Office-Versionen sind betroffen und was ist zu tun?
Die Schutzmaßnahmen variieren je nach installierter Office-Version. Nutzer neuerer Versionen sind besser geschützt, während Besitzer älterer Lizenzen aktiv werden müssen.
Microsoft 365 und Office 2021
Für Abonnenten von Microsoft 365 und Käufer von Office 2021 hat Microsoft bereits eine serverseitige Änderung implementiert, die den Schutz automatisch aktiviert. Damit diese Änderung wirksam wird, ist es jedoch unbedingt erforderlich, alle Office-Anwendungen (Word, Excel, Outlook usw.) vollständig zu schließen und neu zu starten.
Office 2016 und Office 2019
Nutzer der älteren Kaufversionen Office 2016 und Office 2019 erhalten diesen automatischen Schutz nicht. Sie müssen die bereitgestellten Sicherheitsupdates manuell über die Windows-Update-Funktion installieren. Folgende Builds beheben die Lücke:
- Microsoft Office 2019 (32-Bit & 64-Bit): Version 16.0.10417.20095
- Microsoft Office 2016 (32-Bit & 64-Bit): Version 16.0.5539.1001
Es wird dringend empfohlen, die Installation dieser Patches umgehend durchzuführen.
US-Behörden reagieren
Die US-amerikanische Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hat die Schwachstelle CVE-2026-21509 bereits in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen. Bundesbehörden in den USA sind nun verpflichtet, die von Microsoft bereitgestellten Patches bis zum 16. Februar 2026 zu installieren.
Zusätzliche Absicherung über die Windows-Registrierung
Als zusätzliche Schutzmaßnahme oder für den Fall, dass Updates nicht sofort installiert werden können, empfiehlt Microsoft eine manuelle Änderung in der Windows-Registrierung. Dieser Schritt blockiert die betroffene Komponente und sollte nur von erfahrenen Nutzern durchgeführt werden.
"Dieses Update behebt eine Schwachstelle, die OLE-Schutzmaßnahmen in Microsoft 365 und Microsoft Office umgeht, welche Benutzer vor anfälligen COM/OLE-Steuerelementen schützen." – Microsoft Sicherheitshinweis
Wichtiger Hinweis: Vor Änderungen an der Registrierung sollte immer eine Sicherungskopie erstellt werden. Falsche Änderungen können die Stabilität des Systems beeinträchtigen.
- Schließen Sie alle Microsoft Office-Anwendungen.
- Öffnen Sie den Registrierungs-Editor (regedit.exe).
- Navigieren Sie zum passenden Schlüssel für Ihre Office-Installation. Die Pfade unterscheiden sich je nach Version (ClickToRun oder MSI) und Systemarchitektur (32-Bit oder 64-Bit). Ein gängiger Pfad für 64-Bit-Installationen ist:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\ - Klicken Sie mit der rechten Maustaste auf den Schlüssel
COM Compatibilityund erstellen Sie einen neuen Schlüssel mit dem Namen{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}. - Wählen Sie diesen neuen Schlüssel aus, klicken Sie im rechten Fenster mit der rechten Maustaste und erstellen Sie einen neuen "DWORD-Wert (32-Bit)".
- Nennen Sie diesen neuen Wert Compatibility Flags.
- Doppelklicken Sie auf den neuen Wert und setzen Sie den Hexadezimalwert auf 400.
- Schließen Sie den Registrierungs-Editor und starten Sie Ihre Office-Anwendung neu.
Diese manuelle Anpassung bietet einen robusten Schutz gegen die Ausnutzung der Schwachstelle, ersetzt aber nicht die Notwendigkeit, die offiziellen Sicherheitsupdates zu installieren, sobald sie verfügbar sind.
