{"id":320775,"date":"2026-01-27T00:01:28","date_gmt":"2026-01-26T23:01:28","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=320775"},"modified":"2026-02-05T05:50:12","modified_gmt":"2026-02-05T04:50:12","slug":"microsoft-office-0-day-schwachstelle-cve-2026-21509-notfall-updates-teilweise-verfuegbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/01\/27\/microsoft-office-0-day-schwachstelle-cve-2026-21509-notfall-updates-teilweise-verfuegbar\/","title":{"rendered":"Microsoft Office 0-day-Schwachstelle CVE-2026-21509; Notfall-Updates verf\u00fcgbar"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"margin: 0px 10px 0px 0px; display: inline; float: left;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/Office1.jpg\" width=\"55\" height=\"60\" align=\"left\" \/>In Microsoft Office 2016 bis 2024 sowie Office 365-Apps gibt es eine 0-day-Schwachstelle CVE-2026-21509, die in Angriffen aktiv ausgenutzt wird. Microsoft hat zum 26. Januar 2026 erste Informationen und serverseitig Notfall-Updates f\u00fcr Microsoft Office 2021 und h\u00f6her ver\u00f6ffentlicht. F\u00fcr Microsoft Office 2016 und 2019 gibt es (inzwischen) Updates. Administratoren und Nutzer sollten dringend patchen, sobald die Updates verf\u00fcgbar sind, und vorher einen Registrierungseintrag setzen, um sich vor der Schwachstelle zu sch\u00fctzen. <strong>Erg\u00e4nzung:<\/strong> Update f\u00fcr Office 2026 und neue Build f\u00fcr Office 2019 verf\u00fcgbar.<\/p>\n<p><!--more--><br \/>\n<img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/fbc7dc7187f7413fac56cea04e4db7a7\" alt=\"\" width=\"1\" height=\"1\" \/>Seit einigen Stunden \u00fcberschlagen sich die Meldungen auf meinen Social Media-Kan\u00e4len. Ich stelle mal nachfolgenden Tweet mit den Informationen zum Sachverhalt hier ein.<\/p>\n<h2>Microsoft Office 0-day-Schwachstelle CVE-2026-21509<\/h2>\n<p>In Microsoft Office gibt es die\u00a00-day-Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2026-21509\" target=\"_blank\" rel=\"noopener\">CVE-2026-21509<\/a>, die in Angriffen aktiv ausgenutzt wird. Es handelt sich um eine\u00a0Security Feature Bypass-Schwachstelle, die mit einem CVSS 3.1-Scrore von 7.8 als Important eingestuft wurde.<\/p>\n<p><img decoding=\"async\" class=\"alignnone size-full wp-image-320778\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/01\/Office-CVE-2026-21509.jpg\" alt=\"Office Schwachstelle CVE-2026-21509\" \/><\/p>\n<p>Microsoft umschreibt es so, dass nicht vertrauensw\u00fcrdige Eingaben bei einer Sicherheitsentscheidung in Microsoft Office zugelassen sind. Konkret sind wohl Pr\u00fcfungen von OLE-Aufrufen in Microsoft 365 und Microsoft Office, die Benutzer vor anf\u00e4lligen COM\/OLE-Steuerelementen sch\u00fctzen sollen, unzureichend.<\/p>\n<blockquote><p>Sicherheitsforscher HaifeiLi <a href=\"https:\/\/x.com\/HaifeiLi\/status\/2015861979584614787\" target=\"_blank\" rel=\"noopener\">vermutet<\/a>, dass hier der alte Internet Explorer-Browser \u00fcber OLE\/COM-Aufrufe als Angriffsvektor missbraucht wird.<\/p><\/blockquote>\n<p>Dies erm\u00f6glicht es einem unbefugten Angreifer, eine Sicherheitsfunktion lokal zu umgehen. Ein Angreifer muss einem Benutzer allerdings eine b\u00f6sartige Office-Datei senden und ihn dazu bringen, diese zu \u00f6ffnen. Das ist schon mal gut, die reine Anzeige in der Vorschau reicht nicht zur Ausnutzung.<\/p>\n<h2>Welche Office-Versionen sind betroffen?<\/h2>\n<p>Die Schwachstelle ist \u00f6ffentlich bekannt geworden und bereits durch Angreifer ausgenutzt worden.\u00a0Betroffen sind faktisch alle Office-Versionen ab Microsoft Office 2016 aus folgender Auflistung:<\/p>\n<ul>\n<li><span class=\"css-1jxf684 r-bcqeeo r-1ttztb7 r-qvutc0 r-poiln3\">Microsoft Office 2016 (64 Bit)<\/span><\/li>\n<li><span class=\"css-1jxf684 r-bcqeeo r-1ttztb7 r-qvutc0 r-poiln3\">Microsoft Office 2016 (32-Bit)<\/span><\/li>\n<li><span class=\"css-1jxf684 r-bcqeeo r-1ttztb7 r-qvutc0 r-poiln3\">Microsoft Office 2019 (64 Bit)<\/span><\/li>\n<li><span class=\"css-1jxf684 r-bcqeeo r-1ttztb7 r-qvutc0 r-poiln3\">Microsoft Office 2019 (32-Bit)<\/span><\/li>\n<li><span class=\"css-1jxf684 r-bcqeeo r-1ttztb7 r-qvutc0 r-poiln3\">Microsoft Office LTSC 2021 (32-Bit)<\/span><\/li>\n<li><span class=\"css-1jxf684 r-bcqeeo r-1ttztb7 r-qvutc0 r-poiln3\">Microsoft Office LTSC 2021 (64 Bit)<\/span><\/li>\n<li><span class=\"css-1jxf684 r-bcqeeo r-1ttztb7 r-qvutc0 r-poiln3\">Microsoft Office LTSC 2024 (64 Bit)<\/span><\/li>\n<li><span class=\"css-1jxf684 r-bcqeeo r-1ttztb7 r-qvutc0 r-poiln3\">Microsoft Office LTSC 2024 (32-Bit)<\/span><\/li>\n<li><span class=\"css-1jxf684 r-bcqeeo r-1ttztb7 r-qvutc0 r-poiln3\">Microsoft 365 Apps for Enterprise (64 Bit)<\/span><\/li>\n<li><span class=\"css-1jxf684 r-bcqeeo r-1ttztb7 r-qvutc0 r-poiln3\">Microsoft 365 Apps for Enterprise (32-Bit)<\/span><\/li>\n<\/ul>\n<p>Nutzern und Administratoren bleibt nur noch, Gegenma\u00dfnahmen einzuleiten, um einen Schutz vor der Schwachstelle zu haben.<\/p>\n<h2>Updates (noch) nicht f\u00fcr alle Office-Versionen<\/h2>\n<p>Bez\u00fcglich des Schutzes der Nutzer vor der Ausnutzung der Schwachstelle f\u00e4hrt Microsoft einen unterschiedlichen Ansatz.\u00a0Anwender von Microsoft Office 2021 und h\u00f6her werden laut Microsoft automatisch durch eine serverseitige \u00c4nderung gesch\u00fctzt. Die Nutzer m\u00fcssen jedoch ihre Microsoft Office-Anwendungen neu starten, damit diese \u00c4nderung wirksam wird.<\/p>\n<h3>Update f\u00fcr Office 2016 (MSI-Version)<\/h3>\n<p><strong>Erg\u00e4nzung:<\/strong> Microsoft ist schnell &#8211; wie ich nachfolgendem Kommentar entnehmen kann. Microsoft hat f\u00fcr Office 2016 (MSI-Version) das Out-of-Band-Update <a href=\"https:\/\/support.microsoft.com\/help\/5002713\" target=\"_blank\" rel=\"noopener\">KB5002713<\/a> zum 26. Januar 2026 freigegeben. Dieses Update ist \u00fcber Microsoft Update verf\u00fcgbar, kann aber auch \u00fcber den <a class=\"ocpExternalLink\" href=\"http:\/\/www.catalog.update.microsoft.com\/Search.aspx?q=KB5002713\" target=\"_blank\" rel=\"noopener\" data-bi-type=\"anchor\">Microsoft Update-Katalog<\/a> manuell heruntergeladen und installiert werden.<\/p>\n<h3>Noch keine C2R-Updates f\u00fcr Office 2016\/2019?<\/h3>\n<p>F\u00fcr die Click-2-Run-Versionen von Microsoft Office 2016 und Microsoft Office 2019 stehen derzeit noch keine Sicherheitsupdate zur Verf\u00fcgung.\u00a0F\u00fcr Office 2019 habe ich im <a href=\"https:\/\/www.catalog.update.microsoft.com\/Search.aspx?q=Office%202019\" target=\"_blank\" rel=\"noopener\">Microsoft Update Catalog<\/a> bisher nur zwei Dateien f\u00fcr den Systemcenter-Manager gefunden (ob die das C2R-Update f\u00fcr die Build 10417.20095 ziehen, wei\u00df ich nicht).<\/p>\n<p>Laut dieser <a href=\"https:\/\/learn.microsoft.com\/en-us\/officeupdates\/update-history-office-2019\" target=\"_blank\" rel=\"noopener\">Microsoft-Seite<\/a> ist am 26. Januar 2026 Microsoft Office 2019 Version 1808 (Build 10417.20095) ver\u00f6ffentlicht worden. F\u00fcr Microsoft Office 2016 C2R habe ich keine neueren Builds gefunden (die Version ist ja im Oktober 2025 aus dem Support gefallen). Diese Nutzer bzw. deren Administratoren m\u00fcssen nachfolgenden Schutzma\u00dfnahmen ergreifen.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Auf der Microsoft Seite zur <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2026-21509\" target=\"_blank\" rel=\"noopener\">Schwachstelle CVE-2026-21509<\/a> hei\u00dft es, dass Microsoft zum 26.\u00a0Januar 2026 Updates f\u00fcr die C2R-Versionen von Office 2016 Build 16.0.5539.1001 und Office 2019 Build\u00a016.0.10417.20095 zum Schlie\u00dfen der Schwachstelle freigegeben habe.<\/p>\n<h2>Workaround zum sofortigen Schutz<\/h2>\n<p>Microsoft hat auf der Supportseite zu <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2026-21509\" target=\"_blank\" rel=\"noopener\">CVE-2026-21509<\/a> Workarounds angegeben, um auch Microsoft Office 2016 und Microsoft Office 2019 sofort gegen diese Schwachstelle zu sch\u00fctzen.<\/p>\n<p>Zuerst sollten alle Microsoft Office-Anwendungen geschlossen werden.\u00a0F\u00fcr die zu sch\u00fctzende Office-Version ist ein neuer Unterschl\u00fcssel mit dem Namen {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} in der Registrierung einzuf\u00fcgen. Ab Microsoft Office 2016 gilt folgender Schl\u00fcssel:<\/p>\n<pre>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Office\\16.0\\Common\\COM Compatibility\\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}<\/pre>\n<p>Im betreffenden Schl\u00fcssel ist der 32-Bit-DWORD-Wert <em>Compatibility Flags\u202f<\/em> hinzuzuf\u00fcgen und auf 400 zu setzen. Microsoft sagt nichts dazu, aber im Anschluss an das Hinzuf\u00fcgen der Registrierungsschl\u00fcssel und -Werts w\u00fcrde ich Windows neu starten.<\/p>\n<blockquote><p><strong>Anmerkung:<\/strong> Die Kollegen von Bleeping Computer geben in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/microsoft-patches-actively-exploited-office-zero-day-vulnerability\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> weitere Registrierungszweige (WOW6432Node, ClickToRun) an, die um den CLSID-Eintrag und den REG_DWORD-Wert zu erweitern (aber nicht ganz korrekt) sind. Beachtet daher die Hinweise von Bolko<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/27\/microsoft-office-0-day-schwachstelle-cve-2026-21509-notfall-updates-teilweise-verfuegbar\/#comment-245326\"> hier im Kommentar<\/a>, der die korrekten Registrierungseintr\u00e4ge benennt.<\/p><\/blockquote>\n<p><strong>Erg\u00e4nzung:<\/strong> Die Sicherheitsexperten von ACROS Security sichern Office mit 0patch Micropatches gegen die obige Schwachstelle ab (siehe <a href=\"https:\/\/borncity.com\/blog\/2026\/01\/29\/0patch-micropatch-fuer-microsoft-office-schwachstelle-cve-2026-21509\/\" rel=\"bookmark\">0patch Micropatch f\u00fcr Microsoft Office-Schwachstelle CVE-2026-21509<\/a>).<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/13\/microsoft-security-update-summary-13-januar-2026\/\">Microsoft Security Update Summary<\/a>\u00a0(13. Januar 2026)<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/14\/patchday-windows-10-11-updates-13-januar-2026\/\">Patchday: Windows 10\/11 Updates<\/a>\u00a0(13. Januar 2026)<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/14\/320207\/\">Patchday: Windows Server-Updates<\/a>\u00a0(13. Januar 2026)<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/15\/patchday-microsoft-office-updates-13-januar-2026\/\">Patchday: Microsoft Office Updates<\/a>\u00a0(13. Januar 2026)<\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2026\/01\/17\/windows-sqlite-dll-problem-mit-januar-2026-updates-behoben\/\" rel=\"bookmark\">Windows SQLite DLL-Problem mit Januar 2026 Updates behoben<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/17\/windows-januar-2026-update-tauscht-secure-boot-zertifikate\/\" rel=\"bookmark\">Windows Januar 2026 Update tauscht Secure Boot Zertifikate<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/16\/windows-11-23h2-januar-2026-update-kb5073455-macht-shutdown-sleep-problem\/\" rel=\"bookmark\">Windows 11 23H2: Januar 2026-Update KB5073455 macht Shutdown-\/Sleep-Problem<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/15\/windows-januar-2026-updates-verursachen-verbindungs-und-authentifizierungsfehler\/\">Windows Januar 2026-Updates verursachen Verbindungs- und Authentifizierungsfehler<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/16\/windows-11-24h2-25h2-citrix-director-remote-assist-funktioniert-mit-kb5074109-nicht-mehr\/\" rel=\"ugc\">Windows 11 24H2\/25H2: Citrix Director \/ Remote Assist funktioniert mit KB5074109 nicht mehr<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/17\/windows-11-24h2-25h2-outlook-classic-pop3-abrufe-haengen-nach-update-kb5074109\/\" rel=\"bookmark\">Windows 11 24H2\/25H2: Outlook Classic POP3-Abrufe h\u00e4ngen nach Update KB5074109<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/18\/windows-out-of-bad-update-fuer-verbindungs-und-authentifizierungsfehler\/\">Windows: Out-of-Band-Update KB5077744 korrigiert Verbindungs- und Authentifizierungsfehler nach Jan. 2026-Updates<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/18\/windows-11-23h2-out-of-band-update-kb5077797-korrigiert-shutdown-sleep-problem\/\" rel=\"bookmark\">Windows 11 23H2: Out-of-Band-Update KB5077797 korrigiert Shutdown-\/Sleep-Problem<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/19\/windows-telefonie-server-nach-januar-2025-update-nicht-mehr-erreichbar\/\" rel=\"bookmark\">Windows Telefonie-Server nach Januar 2026-Update nicht mehr erreichbar?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/20\/januar-2026-patchday-nachlese-probleme-mit-windows-office-etc-2\/\" rel=\"bookmark\">Januar 2026 Patchday-Nachlese: Probleme mit Windows, Office etc.<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/25\/windows-out-of-band-updates-sollen-outlook-haenger-beseitigen-24-1-2026\/\">Windows: Out-of-Band-Updates sollen Outlook-H\u00e4nger beseitigen (24.1.2026)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/25\/windows-11-24h2-25h2-update-kb5074109-deinstallation-wirft-error-0x800f0905\/\">Windows 11 24H2-25H2 Update KB5074109: Deinstallation wirft Error 0x800f0905<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2026\/01\/26\/windows-11-24h2-25h2-januar-2026-update-kb5074109-verursacht-boot-bsod-problem\/\">Windows 11 24H2\/25H2: Januar 2026-Update KB5074109 verursacht Boot-BSOD-Problem<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>In Microsoft Office 2016 bis 2024 sowie Office 365-Apps gibt es eine 0-day-Schwachstelle CVE-2026-21509, die in Angriffen aktiv ausgenutzt wird. Microsoft hat zum 26. Januar 2026 erste Informationen und serverseitig Notfall-Updates f\u00fcr Microsoft Office 2021 und h\u00f6her ver\u00f6ffentlicht. F\u00fcr Microsoft &hellip; <a href=\"https:\/\/borncity.com\/blog\/2026\/01\/27\/microsoft-office-0-day-schwachstelle-cve-2026-21509-notfall-updates-teilweise-verfuegbar\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[153,8537,426,185],"tags":[4322,4328,4315],"class_list":["post-320775","post","type-post","status-publish","format-standard","hentry","category-microsoft-office","category-problem","category-sicherheit","category-update","tag-office","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/320775","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=320775"}],"version-history":[{"count":10,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/320775\/revisions"}],"predecessor-version":[{"id":321121,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/320775\/revisions\/321121"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=320775"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=320775"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=320775"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}