Microsoft schließt kritische Office-Lücke nach Angriffen von Staatshackern

Microsoft hat Notfall-Patches für eine schwerwiegende Zero-Day-Schwachstelle in Office veröffentlicht. Russische Angreifer nutzen sie bereits aktiv aus.

Die Sicherheitslücke mit der Kennung CVE-2026-21509 ermöglicht es Angreifern, die Sicherheitsfunktionen von Office zu umgehen. Sie wird ausgelöst, sobald ein Nutzer eine speziell präparierte, bösartige Office-Datei öffnet. Das US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat die Schwachstelle bereits in seinen Katalog aktiv ausgenutzter Sicherheitslücken aufgenommen und fordert Bundesbehörden zur sofortigen Installation der Updates auf.

So gefährlich ist die Zero-Day-Lücke

Die Schwachstelle mit einem hohen CVSS-Score von 7,8 betrifft eine breite Palette von Office-Produkten. Dazu gehören Microsoft Office 2016, Office 2019 und Microsoft 365 Apps for Enterprise. Der Angriff basiert auf Social Engineering: Nutzer werden dazu verleitet, ein schädliches Dokument zu öffnen. Dieses kann dann unbemerkt Code ausführen und das System kompromittieren. Die Folgen reichen von Datenklau bis zur Installation von Schadsoftware.

APT28 nutzt Schwachstelle für „Operation Neusploit“

Die Dringlichkeit der Patches wird durch die Identität der Angreifer unterstrichen. Sicherheitsforscher beobachten, dass die mit Russland in Verbindung stehende Hackergruppe APT28, auch bekannt als „Fancy Bear“, die Lücke bereits aktiv nutzt. Die als „Operation Neusploit“ bezeichnete Kampagne zielt auf Organisationen in Mittel- und Osteuropa ab, darunter die Ukraine, die Slowakei und Rumänien.

Social‑Engineering‑Angriffe wie Phishing sind oft der Einstiegspunkt für genau solche Office‑Exploits. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie verdächtige E‑Mails erkennen, CEO‑Fraud verhindern und Mitarbeitende schnell schulen – damit manipulierte Office‑Dateien gar nicht erst öffnen. Praxisnahe Checklisten und sofort umsetzbare Maßnahmen helfen IT‑Verantwortlichen und Sicherheitsteams, die Angriffsfläche deutlich zu reduzieren. In 4 Schritten Phishing abwehren – Anti‑Phishing‑Paket herunterladen

Die Angreifer verwenden manipulierte Rich Text Format (RTF)-Dateien, um einen mehrstufigen Infektionsprozess zu starten. Am Ende stehen oft Backdoors und andere Schadprogramme auf den betroffenen Systemen.

So schützen Sie sich vor der Office-Schwachstelle

Für Nutzer von Microsoft Office 2021 und neuer, einschließlich Microsoft 365 Apps, erfolgt der Schutz automatisch über ein serverseitiges Update, sobald die Office-Anwendungen neu gestartet werden. Für ältere Versionen wie Office 2016 und 2019 ist hingegen eine manuelle Installation der neuesten Sicherheitsupdates zwingend erforderlich.

Angesichts der aktiven Ausnutzung raten Sicherheitsexperten allen Nutzern dringend, die Patches umgehend einzuspielen. Die Updates werden auch in die regulären Sicherheitsupdates vom „Patch Tuesday“ im Februar integriert.

Notfall-Patches werden zum besorgniserregenden Trend

Der aktuelle Notfall-Patch ist Teil eines besorgniserregenden Trends bei Microsoft. Es ist bereits der zweite außerplanmäßige Sicherheitsupdate-Rollup zu Beginn des Jahres 2026. Die zunehmende Häufigkeit dieser dringenden Patches außerhalb des regulären „Patch Tuesday“-Rhythmus stellt IT-Administratoren vor Herausforderungen. Sie können den normalen Betrieb stören und bedeuten Mehrarbeit für Sicherheitsteams.

Das schnelle Ausnutzen der Lücke durch eine bekannte APT-Gruppe unterstreicht die anhaltende Bedrohungslage. Der Vorfall ist eine deutliche Erinnerung daran, dass selbst routinemäßige Aktionen wie das Öffnen eines E-Mail-Anhangs erhebliche Sicherheitsrisiken bergen können. Proaktive Maßnahmen wie die Schulung von Nutzern zur Erkennung von Phishing-Versuchen und die Nutzung von Sicherheitsfunktionen wie dem „Geschützten Modus“ für Dokumente aus nicht vertrauenswürdigen Quellen bleiben unverzichtbar.

PS: Sie haben die Patches installiert – sind Ihre Mitarbeitenden trotzdem vorbereitet? Das Anti‑Phishing‑Paket liefert zusätzlich fertige Schulungsbausteine, Vorlagen für E‑Mail‑Filter und Maßnahmen zur sofortigen Umsetzung, damit Social‑Engineering‑Versuche schon an der Mailbarriere scheitern. Kostenloser Download für IT‑Teams und Entscheider mit konkreten Schritten für Awareness- und Incident‑Response. Jetzt Anti‑Phishing‑Paket & Security‑Check herunterladen