Microsoft Office: Kritische Sicherheitslücken erfordern sofortiges Handeln

Microsoft schließt mit seinem aktuellen Sicherheitsupdate kritische Lücken in Word, Excel und Co., die Angreifern die vollständige Kontrolle über Systeme geben könnten. Die als “kritisch” eingestuften Schwachstellen erlauben die Ausführung von Schadcode – bereits durch das Öffnen eines manipulierten Dokuments.

Die am Dienstag veröffentlichten Patches für den Januar 2026 adressieren über 110 Sicherheitslücken im gesamten Microsoft-Ökosystem. Acht davon stuft der Konzern als kritisch ein. Besonders brisant: Mehrere dieser Schwachstellen betreffen die allgegenwärtigen Office-Anwendungen wie Word und Excel. Sie ermöglichen Remote Code Execution (RCE), bei der Angreifer beliebigen Code auf dem betroffenen Rechner ausführen können. Die Einfallstore sind simpel: Ein geöffnetes, präpariertes Dokument genügt.

Für deutsche Unternehmen, in denen Microsoft Office zum Standard-Arbeitswerkzeug gehört, ist diese Bedrohungslage besonders relevant. Ein erfolgreicher Angriff könnte nicht nur zu Datenverlust führen, sondern auch als Einstiegspunkt für Ransomware-Attacken oder Industriespionage dienen.

Lokale Office‑Installationen sind aktuell ein beliebtes Einfallstor – manipulierte Word‑ oder Excel‑Dateien können beim Öffnen Schadcode ausführen. Wer das Risiko kurzfristig reduzieren will, nutzt die Web‑Versionen von Word & Excel, weil sie ohne lokale Installation laufen und Angriffsflächen minimieren. Ein kostenloser Gratis‑Report erklärt Schritt für Schritt, wie Sie Office im Web einrichten, Dateien sicher in OneDrive speichern und so das Risiko für Endgeräte deutlich senken. Jetzt kostenlosen Office‑Web‑Report anfordern

Die gefährlichsten Lücken im Detail

Im Zentrum der Updates stehen mehrere hochriskante RCE-Schwachstellen. Zwei davon, mit den Kennungen CVE-2026-20952 und CVE-2026-20953, betreffen das gesamte Microsoft Office-Paket. Es handelt sich um sogenannte Use-After-Free-Fehler – eine Form von Speicherkorruption, die Angreifer für ihre Zwecke nutzen können. Beide Lücken erhalten im Common Vulnerability Scoring System (CVSS) die hohe Basisbewertung von 8,4.

Auch die Flaggschiff-Anwendungen sind betroffen:
* Microsoft Word weist mit CVE-2026-20944 eine kritische Lücke auf, die auf einen “Out-of-Bounds-Read”-Fehler zurückgeht.
* Microsoft Excel ist von zwei separaten RCE-Schwachstellen betroffen (CVE-2026-20955 und CVE-2026-20957), die auf eine fehlerhafte Zeigerreferenz bzw. einen Integer-Underflow zurückzuführen sind. Sie haben einen CVSS-Score von 7,8.

Ein erfolgreicher Exploit würde dem Angreifer die gleichen Rechte wie dem angemeldeten Nutzer verschaffen. Das ermöglicht die Installation von Programmen, die Manipulation von Daten oder das Anlegen neuer Konten.

So funktionieren die Angriffe: Gefälschte Dokumente als Trojaner

Die Angriffsmethode ist klassisch, aber wirkungsvoll: Social Engineering. Cyberkriminelle erstellen ein manipuliertes Word- oder Excel-Dokument und bringen Nutzer dazu, es zu öffnen. Dies geschieht typischerweise über Phishing-E-Mails, die einen vertrauenserweckenden Anhang vortäuschen. Wird die Datei geöffnet, kann der eingebettete Schadcode ohne weiteres Zutun ausgeführt werden.

Besonders alarmierend ist ein Detail zu den Lücken CVE-2026-20952 und CVE-2026-20953: Microsoft gibt an, dass bereits die Vorschau-Funktion im Windows-Explorer als Angriffsvektor dienen kann. Das bedeutet, ein System könnte bereits kompromittiert werden, wenn ein Nutzer ein bösartiges Dokument nur in der Vorschau ansieht – ohne es jemals vollständig zu öffnen. Diese “Zero-Click”-Möglichkeit erhöht das Risiko erheblich, da sie kaum Nutzerinteraktion erfordert.

Breite Gefahr: Auch Windows-Kernkomponenten betroffen

Die Office-Lücken sind zwar im Fokus, stellen aber nur einen Teil der umfassenden Sicherheitsoffensive dar. Unter den mehr als 110 geschlossenen Schwachstellen finden sich auch kritische Fehler in Windows-Kernkomponenten.

Eine besonders heikle Lücke, CVE-2026-20854, betrifft den Windows Local Security Authority Subsystem Service (LSASS). Dieser Dienst ist fundamental für die Verwaltung von Sicherheitsrichtlinien auf Windows-Systemen. Zudem wurde eine andere in diesem Update behobene Schwachstelle (CVE-2026-20805) laut Microsoft bereits in der Wildnis ausgenutzt. Diese aktive Ausnutzung unterstreicht die Dringlichkeit, alle Januar-Patches umgehend einzuspielen.

Was Unternehmen jetzt tun müssen

Die Bewertung von Microsoft, dass eine Ausnutzung der neuen Office-Lücken derzeit “weniger wahrscheinlich” sei, bietet nur kurzfristige Beruhigung. Sicherheitsexperten warnen regelmäßig davor, dass sich solche Einschätzungen schnell ändern können, sobald Angreifer die veröffentlichten Patches analysieren, um Exploits zu reverse-engineern.

Die oberste Priorität für IT-Administratoren lautet daher: Sofortiges Patchen. Zentrale Patch-Management-Tools sollten genutzt werden, um alle Endgeräte mit gefährdeten Office- und Windows-Versionen zu aktualisieren. Angesichts der Breite der betroffenen Produkte ist eine gestaffelte Rollout-Strategie sinnvoll, die bei besonders kritischen, internet-exponierten Systemen beginnt.

Neben dem unmittelbaren Patchen ist eine verstärkte Security Awareness entscheidend. Mitarbeiter sollten für die Gefahren durch Phishing-Mails und verdächtige Anhänge sensibilisiert werden. Technisch sollten robuste E-Mail-Security-Gateways und Endpoint Detection and Response (EDR)-Lösungen eine letzte Verteidigungslinie bilden. Der Januar-Patchday zeigt erneut: Proaktives Patch-Management ist kein lästiger Administrationsaufwand, sondern eine unverzichtbare Säule der Cybersicherheit.

PS: Übrigens: Sie können Word & Excel auch legal und ohne Installation nutzen – das verringert kurzfristig die Angriffsfläche auf Endgeräten und spart zugleich Lizenzkosten. Der Gratis‑Report “Office im Web” erklärt Anmeldung, Zusammenarbeit in OneDrive und Datenschutz‑Einstellungen, damit Sie Dokumente sicher online bearbeiten können. Ideal für IT‑Verantwortliche, die schnell Schutz brauchen. Gratis‑Report Office im Web jetzt herunterladen