Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Free

Zero-Day in Microsoft Office: Notfallpatch stoppt aktive Angriffe : Schwere Sicherheitslücke hebelt Schutzmechanismen aus und zwingt Administratoren zum Handeln

Ein Zero-Day-Angriff in Microsoft Office hebelt zentrale Schutzmechanismen aus und wird bereits aktiv ausgenutzt. Als Angriffswaffe reichen präparierte Dokumente. Microsoft veröffentlicht einen Notfallpatch, Behörden setzen Fristen – Unternehmen müssen jetzt sofort handeln.

THN/Stefan Mutschler (freier Journalist)Bedrohungen
Lesezeit 2 Min.

Microsoft hat außerplanmäßige Sicherheitsupdates für eine kritisch eingestufte Zero-Day-Schwachstelle in Microsoft Office veröffentlicht, die bereits aktiv ausgenutzt wird. Die Lücke wird unter der Kennung CVE-2026-21509 geführt und erreicht einen CVSS-Wert von 7,8. Technisch handelt es sich um eine Umgehung von Sicherheitsfunktionen, die eigentlich vor gefährlichen COM-/OLE-Steuerelementen schützen sollen.

Die Schwachstelle entsteht durch die fehlerhafte Verarbeitung nicht vertrauenswürdiger Eingaben bei sicherheitsrelevanten Entscheidungen in Microsoft Office. Dadurch ist es Angreifern möglich, bestehende Schutzmechanismen lokal zu umgehen. Betroffen sind insbesondere OLE-Mitigationen in Microsoft 365 und klassischen Office-Versionen, die normalerweise verhindern, dass verwundbare Steuerelemente automatisch geladen werden.

Angriffsszenario und technische Einordnung

Für eine erfolgreiche Ausnutzung müssen Angreifer ein speziell präpariertes Office-Dokument versenden und den Empfänger dazu bringen, dieses zu öffnen. Der Vorschaubereich ist nach Angaben von Microsoft kein Angriffsvektor, was die Gefahr zwar reduziert, aber keinesfalls entschärft. Social-Engineering-Angriffe bleiben der wahrscheinlichste Einstiegspunkt.

Microsoft hat bisher keine Details zur Anzahl oder zur Zielgruppe der Angriffe veröffentlicht. Die Entdeckung wird dem Microsoft Threat Intelligence Center (MSTIC), dem Microsoft Security Response Center (MSRC) sowie dem Office Product Group Security Team zugeschrieben, was auf eine gezielte und vermutlich bereits länger laufende Ausnutzung hindeutet.

Automatischer Schutz und manuelle Updates

Systeme mit Office 2021 oder neueren Versionen sind durch eine serverseitige Änderung automatisch geschützt, sobald die Office-Anwendungen neu gestartet wurden. Für ältere Versionen ist jedoch zwingend die Installation der folgenden Updates erforderlich:

  • Microsoft Office 2019 in der 32-Bit-Edition – 16.0.10417.20095
  • Microsoft Office 2019 in der 64-Bit-Edition – 16.0.10417.20095
  • Microsoft Office 2016 in der 32-Bit-Edition – 16.0.5539.1001
  • Microsoft Office 2016 in der 64-Bit-Edition – 16.0.5539.1001

Registry-Maßnahme als zusätzliche Absicherung

Als kurzfristige Gegenmaßnahme empfiehlt Microsoft eine Änderung der Windows-Registrierung, um die betroffenen COM-Komponenten gezielt zu blockieren. Dabei sind folgende Schritte notwendig:

  • Sicherung der Windows-Registrierung erstellen
  • Alle Microsoft-Office-Anwendungen beenden
  • Registrierungseditor starten
  • Passenden Registrierungspfad auswählen, abhängig von Office-Edition und Windows-Architektur:
    – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\ für 64-Bit-MSI-Office oder 32-Bit-MSI-Office auf 32-Bit-Windows
    – HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ für 32-Bit-MSI-Office auf 64-Bit-Windows
    – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ für 64-Bit-Click-to-Run-Office oder 32-Bit-Click-to-Run-Office auf 32-Bit-Windows
    – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ für 32-Bit-Click-to-Run-Office auf 64-Bit-Windows
  • Neuen Unterschlüssel mit der Kennung {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} anlegen:
    – mit der rechten Maustaste auf den Knoten COM Compatibility klicken und Neuen Schlüssel auswählen
    – innerhalb dieses Unterschlüssels einen neuen Wert erstellen, indem mit der rechten Maustaste auf den Unterschlüssel geklickt und Neu > DWORD-Wert (32-Bit) ausgewählt wird.
  • Registrierungseditor schließen und Office neu starten

CISA setzt Frist für Behörden

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat die Schwachstelle bereits in ihren Katalog aktiv ausgenutzter Sicherheitslücken aufgenommen. Zivile Exekutivbehörden der US-Bundesregierung sind verpflichtet, die Updates bis spätestens Februar 16, 2026 einzuspielen. Diese Einstufung unterstreicht die reale Gefährdungslage und sollte auch für Unternehmen ein klares Signal sein.

CVE-2026-21509 zeigt erneut, wie schnell bewährte Schutzmechanismen ausgehebelt werden können, wenn tief verankerte Komponenten betroffen sind. Unternehmen sollten unverzüglich prüfen, welche Office-Versionen im Einsatz sind, Updates priorisieren und die empfohlenen Schutzmaßnahmen umsetzen. In diesem Fall ist Zögern keine Option.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.