{"id":320863,"date":"2026-01-29T00:01:11","date_gmt":"2026-01-28T23:01:11","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=320863"},"modified":"2026-01-28T18:14:10","modified_gmt":"2026-01-28T17:14:10","slug":"0patch-micropatch-fuer-microsoft-office-schwachstelle-cve-2026-21509","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/01\/29\/0patch-micropatch-fuer-microsoft-office-schwachstelle-cve-2026-21509\/","title":{"rendered":"0patch Micropatch f\u00fcr Microsoft Office-Schwachstelle CVE-2026-21509"},"content":{"rendered":"

ACROS Security hat einen 0patch Micropatch f\u00fcr eine Security Feature Bypass-Schwachstelle CVE-2026-21509 in Microsoft Office ver\u00f6ffentlicht. Damit l\u00e4sst sich die Schwachstelle auch in \u00e4lteren Office-Versionen absichern.<\/p>\n

<\/p>\n

Microsoft Office 0-day-Schwachstelle CVE-2026-21509<\/h2>\n

\"\"Ich hatte es zum 27. Januar 2026 im Blog-Beitrag\u00a0Microsoft Office 0-day-Schwachstelle CVE-2026-21509; Notfall-Updates verf\u00fcgbar<\/a> angesprochen. In Microsoft Office 2016 bis 2024 sowie Office 365-Apps gibt es eine 0-day-Schwachstelle CVE-2026-21509, die in Angriffen aktiv ausgenutzt wird.<\/p>\n

Microsoft hat zum 26. Januar 2026 erste Informationen und serverseitig Notfall-Updates f\u00fcr Microsoft Office 2021 und h\u00f6her ver\u00f6ffentlicht. F\u00fcr Microsoft Office 2016 (msi-Version) gibt es (inzwischen) Updates, so dass die Administratoren zeitnah patchen k\u00f6nnen. Ab Office 2021 nimmt Microsoft serverseitige Anpassungen vor, so dass Nutzer nichts tun m\u00fcssen. Im oben verlinkten Blog-Beitrag hatte ich auch Ans\u00e4tze beschrieben, um die Schwachstelle durch Anpassungen in der Registrierung abzuschw\u00e4chen.<\/p>\n

0patch Micropatch f\u00fcr die\u00a0Schwachstelle CVE-2026-21509<\/h2>\n

Mitja Kolsek hat mich zum 28. Januar 2026 per direkter Nachricht auf X dar\u00fcber informiert, dass man von ACROS Security\u00a00patch Micropatch f\u00fcr die Schwachstelle CVE-2026-21509 bereitgestellt habe<\/a>.<\/p>\n

\"0patch<\/a><\/p>\n

Im Artikel\u00a0Micropatches Released for Microsoft Office Security Feature Bypass Vulnerability (CVE-2026-21509)<\/a> schreibt Mitja Kolsek, dass\u00a0die Schwachstelle auf der M\u00f6glichkeit beruht, ein Shell.Explorer.1-OLE-Objekt (Windows-Klassen-ID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}) in ein Office-Dokument einzubetten.<\/p>\n

Dieses Objekt ist eigentlich eine eingebettete Internet Explorer- oder Windows Explorer-Komponente und wurde in der Vergangenheit f\u00fcr verschiedene Exploits und Sicherheitstricks genutzt.<\/p>\n

Kolsek schreibt, dass man nicht genau wisse, was Microsoft mit dem Office-Update vom 26. Januar 2026 gepatcht hat. Es gibt mehrere \u00c4nderungen in den Office-Bin\u00e4rdateien, von denen keine sofort als offensichtlicher Patch erkennbar ist, und das genannte Update hat auch kein \u201eKill Bit\" f\u00fcr die Klassen-ID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} gesetzt.<\/p>\n

Die Entwickler bei ACROS Security haben daher beschlossen, dies nicht weiter zu untersuchen (auch weil kein POC vorhanden ist, um die Schwachstelle zu reproduzieren und den eigenen Patch zu testen).<\/p>\n

Stattdessen geht man cleverer vor und emuliert das Kill-Bit f\u00fcr die Klassen-ID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} – dies verhindert so effektiv, dass eingebettete OLE-Objekte dieser Klasse gestartet werden. Dies ist vermutlich eine umfassendere Gegenma\u00dfnahme, die die Ausnutzung von CVE-2026-21509 verhindert, aber m\u00f6glicherweise auch einige andere Verwendungen desselben OLE-Objekts blockiert, schreibt Kolsek.<\/p>\n

\"CVE-2026-21509<\/a><\/p>\n

Nach der Anwendung des 0patch Micropatches wird das \u00d6ffnen eines eingebetteten Shell.Explorer.1-OLE-Objekts<\/em> in einem Office-Dokument blockiert und es wird das obige Dialogfeld angezeigt.<\/p>\n

ACROS Security hat diese\u00a0Micropatches wurden f\u00fcr die folgenden 32-Bit- und 64-Bit-Versionen von Microsoft Office entwickelt:<\/p>\n