Microsoft schließt kritische Lücken in Office – Angriff per Outlook-Vorschau möglich

Microsoft hat mit den ersten Sicherheitsupdates des Jahres gefährliche Schwachstellen in Office geschlossen. Besonders brisant: Angreifer können über die Outlook-Vorschau fremden Code ausführen – ohne dass Nutzer eine Datei öffnen müssen. Die als „Patch Tuesday“ bekannten monatlichen Updates beheben insgesamt 112 Sicherheitslücken.

Die kritischsten Patches gelten zwei Schwachstellen in Microsoft Office, gekennzeichnet als CVE-2026-20952 und CVE-2026-20953. Sie ermöglichen die Ausführung von Schadcode und erreichen auf der CVSS-Skala die hohe Bewertung von 8,4. Die Gefahr: Bereits das Anzeigen einer präparierten Datei in der Outlook-Vorschau reicht für einen Angriff aus. Nutzer müssen also nicht einmal einen Anhang öffnen oder einen Link anklicken.

Die behobenen Lücken zeigen ein anhaltendes Risiko auf. Es handelt sich um sogenannte Use-After-Free-Fehler in der Speicherverwaltung. Angreifer können sie mit einem manipulierten Office-Dokument per E-Mail ausnutzen. Sobald die Nachricht im Posteingang des Opfers erscheint und die Vorschau sie rendert, wird der Schadcode ausgeführt.

Die Outlook‑Vorschau ist aktuell ein kritischer Angriffspunkt – schon das Anzeigen einer E‑Mail kann ausreichen. Wer Outlook sicher einrichten will, sollte deshalb Vorsorge treffen: Ein kostenloser Outlook‑Spezialkurs erklärt Schritt‑für‑Schritt, wie Sie Konten korrekt konfigurieren, die Vorschau sicher handhaben oder deaktivieren und wichtige Daten sichern. Ideal für Administratoren und Power‑User, die Zero‑Click‑Vektoren schnell schließen möchten. Jetzt kostenlosen Outlook-Ratgeber herunterladen

„Diese Angriffsvektoren umgehen klassische Sicherheitsschulungen“, erklärt ein Sicherheitsexperte. „Die Warnung, keine verdächtigen Anhänge zu öffnen, hilft hier nicht.“ Die Patches betreffen Microsoft Word, Excel und die gesamte Office‑Suite, einschließlich Microsoft 365 Apps for Enterprise sowie der Versionen 2016, 2019 und LTSC 2021. Für IT-Administratoren ist eine sofortige Installation daher oberste Priorität.

Aktive Zero-Day-Lücke und weitere kritische Updates

Neben den Office-Lücken behebt Microsoft auch eine bereits aktiv ausgenutzte Zero-Day-Schwachstelle. Die Lücke im Desktop Window Manager (CVE-2026-20804) ermöglicht zwar „nur“ die Offenlegung von Informationen, kann aber als Sprungbrett für komplexere Attacken dienen. Die US-Cybersicherheitsbehörde CISA hat sie in ihren Katalog bekannter, ausgenutzter Schwachstellen aufgenommen und fordert US-Behörden auf, bis zum 3. Februar 2026 zu patchen.

Insgesamt enthält der Januar-Release acht als kritisch eingestufte Lücken. Mehr als die Hälfte aller behobenen Schwachstellen betrifft Rechteerweiterungen, gefolgt von Ferncodeausführung und Informationspreisgabe. Eine weitere bedeutende Lücke (CVE-2026-20854) betrifft den Windows Local Security Authority Subsystem Service (LSASS). Eine Ausnutzung könnte hier zum vollständigen Kompromittieren des Systems und zum Diebstahl von Zugangsdaten führen.

Handlungsempfehlungen für Unternehmen

Die aktuellen Patches setzen einen Trend fort: Angreifer zielen vermehrt auf Client-Anwendungen wie Office als ersten Einstiegspunkt. Die wiederkehrenden Probleme mit der Vorschaufunktion machen sie zu einem lukrativen Ziel.

Sicherheitsexperten raten dringend zur sofortigen Installation der Updates. Für Organisationen, die die Office-Patches nicht umgehend einspielen können, gibt es eine Übergangslösung: Die Deaktivierung der Vorschau in Outlook und dem Windows-Explorer unterbindet den Zero-Click-Angriffsvektor. Zudem sollten Administratoren die Patch-Zyklen für alle kritischen Systeme beschleunigen und die Überwachung auf verdächtige Aktivitäten verstärken.

Der umfangreiche Patch-Tuesday zeigt den anhaltenden Druck auf Software-Hersteller und IT-Sicherheitsteams. Der Fokus der Angreifer auf Zero-Interaction-Exploits demonstriert eine ausgefeilte Taktik, um traditionelle Sicherheitsmaßnahmen und Nutzerwachsamkeit zu umgehen. Ein robustes und zeitnahes Patch-Management bleibt daher eine der wichtigsten Verteidigungslinien für jedes Unternehmen.

PS: Wenn Sie jetzt kurzfristig Schutzmaßnahmen suchen, hilft unser Outlook‑Spezialkurs mit praktischen Checklisten: Schrittweise Anleitungen zur Deaktivierung der Vorschau, sichere Kontoeinstellungen und Backup‑Tipps – ideal für IT‑Teams ohne großen Aufwand. Outlook jetzt sicher einrichten