In Microsoft Office 2016 bis 2024 sowie Office 365-Apps gibt es eine 0-day-Schwachstelle CVE-2026-21509, die in Angriffen aktiv ausgenutzt wird. Microsoft hat zum 26. Januar 2026 erste Informationen und serverseitig Notfall-Updates für Microsoft Office 2021 und höher veröffentlicht. Für Microsoft Office 2016 und 2019 gibt es noch keine Updates. Administratoren und Nutzer sollten dringend patchen, sobald die Updates verfügbar sind, und vorher einen Registrierungseintrag setzen, um sich vor der Schwachstelle zu schützen.
Seit einigen Stunden überschlagen sich die Meldungen auf meinen Social Media-Kanälen. Ich stelle mal nachfolgenden Tweet mit den Informationen zum Sachverhalt hier ein.
Microsoft Office 0-day-Schwachstelle CVE-2026-21509
In Microsoft Office gibt es die 0-day-Schwachstelle CVE-2026-21509, die in Angriffen aktiv ausgenutzt wird. Es handelt sich um eine Security Feature Bypass-Schwachstelle, die mit einem CVSS 3.1-Scrore von 7.8 als Important eingestuft wurde.
Microsoft umschreibt es so, dass nicht vertrauenswürdige Eingaben bei einer Sicherheitsentscheidung in Microsoft Office zugelassen sind. Konkret sind wohl Prüfungen von OLE-Aufrufen in Microsoft 365 und Microsoft Office, die Benutzer vor anfälligen COM/OLE-Steuerelementen schützen sollen, unzureichend.
Sicherheitsforscher HaifeiLi vermutet, dass hier der alte Internet Explorer-Browser über OLE/COM-Aufrufe als Angriffsvektor missbraucht wird.
Dies ermöglicht es einem unbefugten Angreifer, eine Sicherheitsfunktion lokal zu umgehen. Ein Angreifer muss einem Benutzer allerdings eine bösartige Office-Datei senden und ihn dazu bringen, diese zu öffnen. Das ist schon mal gut, die reine Anzeige in der Vorschau reicht nicht zur Ausnutzung.
Welche Office-Versionen sind betroffen?
Die Schwachstelle ist öffentlich bekannt geworden und bereits durch Angreifer ausgenutzt worden. Betroffen sind faktisch alle Office-Versionen ab Microsoft Office 2016 aus folgender Auflistung:
- Microsoft Office 2016 (64 Bit)
- Microsoft Office 2016 (32-Bit)
- Microsoft Office 2019 (64 Bit)
- Microsoft Office 2019 (32-Bit)
- Microsoft Office LTSC 2021 (32-Bit)
- Microsoft Office LTSC 2021 (64 Bit)
- Microsoft Office LTSC 2024 (64 Bit)
- Microsoft Office LTSC 2024 (32-Bit)
- Microsoft 365 Apps for Enterprise (64 Bit)
- Microsoft 365 Apps for Enterprise (32-Bit)
Nutzern und Administratoren bleibt nur noch, Gegenmaßnahmen einzuleiten, um einen Schutz vor der Schwachstelle zu haben.
Updates (noch) nicht für alle Office-Versionen
Bezüglich des Schutzes der Nutzer vor der Ausnutzung der Schwachstelle fährt Microsoft einen unterschiedlichen Ansatz. Anwender von Microsoft Office 2021 und höher werden laut Microsoft automatisch durch eine serverseitige Änderung geschützt. Die Nutzer müssen jedoch ihre Microsoft Office-Anwendungen neu starten, damit diese Änderung wirksam wird.
Für Microsoft Office 2016 und Microsoft Office 2019 stehen derzeit noch keine Sicherheitsupdate zur Verfügung – deren Release ist für die kommenden Tage geplant. Diese Nutzer bzw. deren Administratoren müssen nachfolgenden Schutzmaßnahmen ergreifen.
Ergänzung: Microsoft ist schnell – wie ich nachfolgendem Kommentar entnehmen kann. Microsoft hat für Office 2016 das Out-of-Band-Update KB5002713 zum 26. Januar 2026 freigegeben. Für Office 2019 habe ich im Microsoft Update Catalog bisher nur zwei Dateien für den Systemcenter-Manager gefunden.
Workaround zum sofortigen Schutz
Microsoft hat auf der Supportseite zu CVE-2026-21509 Workarounds angegeben, um auch Microsoft Office 2016 und Microsoft Office 2019 sofort gegen diese Schwachstelle zu schützen.
Zuerst sollten alle Microsoft Office-Anwendungen geschlossen werden. Für die zu schützende Office-Version ist ein neuer Unterschlüssel mit dem Namen {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} in der Registrierung einzufügen. Ab Microsoft Office 2016 gilt folgender Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}
Im betreffenden Schlüssel ist der 32-Bit-DWORD-Wert Compatibility Flags hinzuzufügen und auf 400 zu setzen. Die Kollegen von Bleeping Computer geben in diesem Beitrag weitere Registrierungszweige (WOW6432Node, ClickToRun) an, die um den CLSID-Eintrag und den REG_DWORD-Wert zu erweitern sind. Microsoft sagt nichts dazu, aber im Anschluss an das Hinzufügen der Registrierungsschlüssel und -Werts würde ich Windows neu starten.
Ähnliche Artikel:
Microsoft Security Update Summary (13. Januar 2026)
Patchday: Windows 10/11 Updates (13. Januar 2026)
Patchday: Windows Server-Updates (13. Januar 2026)
Patchday: Microsoft Office Updates (13. Januar 2026)
Windows SQLite DLL-Problem mit Januar 2026 Updates behoben
Windows Januar 2026 Update tauscht Secure Boot Zertifikate
Windows 11 23H2: Januar 2026-Update KB5073455 macht Shutdown-/Sleep-Problem
Windows Januar 2026-Updates verursachen Verbindungs- und Authentifizierungsfehler
Windows 11 24H2/25H2: Citrix Director / Remote Assist funktioniert mit KB5074109 nicht mehr
Windows 11 24H2/25H2: Outlook Classic POP3-Abrufe hängen nach Update KB5074109
Windows: Out-of-Band-Update KB5077744 korrigiert Verbindungs- und Authentifizierungsfehler nach Jan. 2026-Updates
Windows 11 23H2: Out-of-Band-Update KB5077797 korrigiert Shutdown-/Sleep-Problem
Windows Telefonie-Server nach Januar 2026-Update nicht mehr erreichbar?
Januar 2026 Patchday-Nachlese: Probleme mit Windows, Office etc.
Windows: Out-of-Band-Updates sollen Outlook-Hänger beseitigen (24.1.2026)
Windows 11 24H2-25H2 Update KB5074109: Deinstallation wirft Error 0x800f0905
Windows 11 24H2/25H2: Januar 2026-Update KB5074109 verursacht Boot-BSOD-Problem
MVP: 2013 – 2016
Es gibt bereits ein Update für Office (Word) 2016
https://support.microsoft.com/de-de/topic/beschreibung-des-sicherheitsupdates-f%C3%BCr-office-2016-26-januar-2026-kb5002713-32ec881d-a3b5-470c-b9a5-513cc46bc77e
https://www.catalog.update.microsoft.com/Search.aspx?q=office%202016