![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/Office1.jpg\")
Kurzer Nachtrag in Sachen Office-Schwachstellen. Russische Hacker der Gruppe APT28 greifen wohl Microsoft Office-Installationen \u00fcber die k\u00fcrzlich von Microsoft geschlossene Schwachstelle CVE-2026-21509 an. Und ZScaler berichtet \u00fcber Angriffe mittels Outlook-Makros \u00fcber die Schwachstelle CVE-2026-21509. Hier eine \u00dcbersicht, was bekannt ist.<\/p>\n
<\/p>\n
In Microsoft Office 2016 bis 2024 sowie Office 365-Apps wurde zum 26. Januar 2026 bekannt, dass es eine 0-day-Schwachstelle CVE-2026-21509 gibt, die in Angriffen aktiv ausgenutzt wird.\u00a0Microsoft dr\u00fcckte es so aus, dass nicht vertrauensw\u00fcrdige Eingaben bei einer Sicherheitsentscheidung in Microsoft Office zugelassen sind. Konkret sind wohl Pr\u00fcfungen von OLE-Aufrufen in Microsoft 365 und Microsoft Office, die Benutzer vor anf\u00e4lligen COM\/OLE-Steuerelementen sch\u00fctzen sollen, unzureichend.<\/p>\n
Von Microsoft gab es zum 26. Januar 2026 erste Informationen zur Schwachstelle und es hie\u00df, dass man serverseitig Notfall-Updates f\u00fcr Microsoft Office 2021 und h\u00f6her ver\u00f6ffentlicht habe. F\u00fcr Microsoft Office 2016 (MSI-Version) gab es zudem ein Out-of-Band-Update im Microsoft Update Catalog.<\/p>\n
Zudem hatte Microsoft Hinweise zur Abschw\u00e4chung der Sicherheitsl\u00fccke CVE-2026-21509 ver\u00f6ffentlicht, wobei aber nicht alle Registrierungseintr\u00e4ge genannt wurden.\u00a0Ich hatte im Blog-Beitrag Microsoft Office 0-day-Schwachstelle CVE-2026-21509; Notfall-Updates verf\u00fcgbar<\/a> \u00fcber diesen Sachverhalt berichtet. In den Kommentaren zu diesen Beitr\u00e4gen finden sich Hinweise, welche Registrierungseintr\u00e4ge zur Absicherung gegen CVE-2026-21509 zu setzen sind.<\/p>\n Die Sicherheitsexperten von ACROS Security sichern Office zudem mit 0patch Micropatches gegen die obige Schwachstelle ab (siehe 0patch Micropatch f\u00fcr Microsoft Office-Schwachstelle CVE-2026-21509<\/a>).<\/p>\n Das CERT-UA hat bereits drei Tage nach der Warnung von Microsoft die Verbreitung b\u00f6sartiger DOC-Dateien, die sich thematisch mit den Beratungen des EU-Corepers in der Ukraine befassen, festgestellt. In diesen b\u00f6sartigen DOC-Dateien wird die Sicherheitsl\u00fccke CVE-2026-21509 durch russische Hacker (Fancy Bear) ausgenutzt.<\/p>\n Obiger Tweet des CERT-UA vom 2. Februar 2026 weist auf diesen Sachverhalt hin. Das Landesamt f\u00fcr Verfassungsschutz Baden-W\u00fcrttemberg (LfV BW) warnt<\/a> seit dem 4. Februar 2026 ebenfalls vor der Ausnutzung einer Schwachstelle in verschiedenen Microsoft-Office-Versionen durch die Cybergruppierung APT28. Die Warnung weist darauf hin, dass Microsoft Sicherheitsupdates f\u00fcr die betroffenen Office-Versionen zur Verf\u00fcgung stellt (siehe auch die Microsoft Seite zur Schwachstelle CVE-2026-21509<\/a>) und referenziert die Meldung des CERT der Ukraine (CERT\u2011UA). Die CERT-Seite der Ukraine liefert auch Kompromittierungsindikatoren (Indicators of Compromise: IoC) zur Pr\u00fcfung von Systemen, ist aber auf ukrainisch verfasst.<\/p>\n Die Kollegen von Bleeping Computer berichten in diesem Artikel<\/a> \u00fcber die neuen Erkenntnisse (siehe obiger Tweet). Laut diesem Artikel wurden in weiteren F\u00e4llen b\u00f6swillige E-Mails im Namen des ukrainischen Hydrometeorologischen Zentrums an \u00fcber 60 Adressen von Regierungsstellen versandt.<\/p>\n Laut den Metadaten des Dokuments wurden diese DOC-Dateien bereits einen Tag nach Bekanntgabe der Schwachstelle\u00a0 und Ver\u00f6ffentlichung der Notfall-Updates erstellt. Im auf ukrainisch verfassten CERT-Bericht f\u00fchrt die Ausf\u00fchrung einer geplanten Aufgabe f\u00fchrt zur Beendigung und zum Neustart des Prozesses explorer.exe<\/em>. Dadurch l\u00e4sst sich unter anderem dank COM-Hijacking das Laden der Datei EhStoreShell.dll<\/em> sicherstellen.<\/p>\n Diese DLL f\u00fchrt Shellcode aus der Image-Datei aus, wodurch wiederum der Start der COVENANT-Software (Framework) auf dem Computer sichergestellt wird, zitiert Bleeping Computer aus dem CERT-UA-Bericht. Der Malware-Loader war bereits im Juni 2025 bei APT28-Angriffen auf Signal-Chats verwendet worden, um die Malware BeardShell und SlimAgent an Regierungsorganisationen in der Ukraine zu \u00fcbertragen, hei\u00dft es bei Bleeping Computer.<\/p>\n Laut CERT-UA-Bericht nutzt das COVENANT-Framework den Cloud-Speicherdienst Filen (filen.io) f\u00fcr Command-and-Control-Operationen (C2). Die \u00dcberwachung und Blockierung von Verbindungen zu dieser Plattform sollte zur Abwehr dieser Angriffe helfen.<\/p>\n Auf X ist mir noch nachfolgender Tweet<\/a> von Cyber_OSINT untergekommen. Dieser besagt ebenfalls, dass Sicherheitsforscher von ThreatLabz die russische Cybergruppe APT28 mit der Operation Neusploit in Verbindung bringt.<\/p>\n Bei der Kampagne werde die Schwachstelle CVE-2026-21509 \u00fcber speziell gestaltete RTF-Dateien angegriffen, um MiniDoor (ein auf Outlook-Makros basierender E-Mail-Stealer) oder PixyNetLoader (Covenant Grunt) mithilfe von COM-Hijacking und Filen C2 zu verbreiten, wobei Mittel- und Osteuropa das Ziel sind.<\/p>\n Das deckt sich grob mit der obigen Beschreibung, die die Kollegen von Bleeping Computer aus dem CERT-US-Report zusammen getragen haben. Die Sicherheitsforscher von ZScaler haben ihre Erkenntnisse zum 2. Februar 2026 im englischsprachigen Artikel\u00a0APT28 Leverages CVE-2026-21509 in Operation Neusploit<\/a> zusammen getragen. Hilfreich ist der Bericht, weil er detailliert den Angriff und die Indicator of Compromise in englisch beschreibt.<\/p>\n \u00c4hnliche Artikel:<\/strong> Kurzer Nachtrag in Sachen Office-Schwachstellen. Russische Hacker der Gruppe APT28 greifen wohl Microsoft Office-Installationen \u00fcber die k\u00fcrzlich von Microsoft geschlossene Schwachstelle CVE-2026-21509 an. Und ZScaler berichtet \u00fcber Angriffe mittels Outlook-Makros \u00fcber die Schwachstelle CVE-2026-21509. Hier eine \u00dcbersicht, was bekannt ist.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[153,8537,426,7459],"tags":[4322,215,24,4328],"class_list":["post-321111","post","type-post","status-publish","format-standard","hentry","category-microsoft-office","category-problem","category-sicherheit","category-software","tag-office","tag-outlook","tag-problem","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321111","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=321111"}],"version-history":[{"count":6,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321111\/revisions"}],"predecessor-version":[{"id":321124,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321111\/revisions\/321124"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=321111"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=321111"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=321111"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Office-Schwachstelle CVE-2026-21509 wird angegriffen<\/h2>\n
![\"Angriffe](\"https:\/\/i.postimg.cc\/zBmVMzK6\/image.png\" "\\"Angriffe")
<\/a><\/p>\n![\"Office-Schwachstelle](\"https:\/\/i.postimg.cc\/SRz2WP9b\/image.png\" "\\"Office-Schwachstelle")
<\/a><\/p>\nOutlook-Makro-basierter E-Mail-Stealer<\/h2>\n
![\"Outlook-Angriffe\"](\"https:\/\/i.postimg.cc\/FHZY6V1r\/image.png\")
<\/a><\/p>\n
\nMicrosoft Office 0-day-Schwachstelle CVE-2026-21509; Notfall-Updates verf\u00fcgbar<\/a>
\n0patch Micropatch f\u00fcr Microsoft Office-Schwachstelle CVE-2026-21509<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"