Eine schwerwiegende Sicherheitslücke in Microsoft Office wird bereits für Angriffe genutzt. Betrüger umgehen damit Schutzmechanismen und schleusen Schadsoftware über manipulierte Dokumente ein. Microsoft hat bereits einen Notfall-Patch veröffentlicht, und Cybersicherheitsbehörden weltweit warnen vor der akuten Gefahr.
Was die Lücke so gefährlich macht
Die Schwachstelle mit der Kennung CVE-2026-21509 ist eine sogenannte Sicherheitsfunktions-Umgehung und wird mit der hohen CVSS-Bewertung 7,8 klassifiziert. Der Fehler liegt in der Handhabung der OLE-Technologie (Object Linking and Embedding), über die Inhalte zwischen Anwendungen ausgetauscht werden. Angreifer können diese Technik manipulieren, um eingebaute Schutzbarrieren in Office-Dokumenten zu umgehen.
Die Ausnutzung erfordert Social Engineering: Ein Nutzer muss eine präparierte Word-, Excel- oder PowerPoint-Datei öffnen. Geschieht dies, kann das Dokument im Hintergrund eine Verbindung zu einem externen Server aufbauen, um weitere Schadsoftware nachzuladen und das System vollständig zu kompromittieren. Bereits das Öffnen reicht aus – die Vorschau im Explorer ist kein Angriffsvektor. Diese scheinbare Harmlosigkeit macht die Lücke besonders tückisch.
Social‑Engineering‑Angriffe wie im geschilderten Fall setzen auf präparierte Office‑Anhänge, getarnte Absender und automatische Nachlade‑Mechanismen – oft reicht ein geöffneter DOC‑Anhang. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie E‑Mails prüfen, gefährliche Verknüpfungen erkennen und Mitarbeiter effektiv schulen. Enthalten sind Checklisten, Vorlagen für Phishing‑Tests und konkrete Gegenmaßnahmen für IT‑Teams. Jetzt Anti‑Phishing‑Paket herunterladen
Gezielte Angriffswellen im Umlauf
Bereits kurz nach der Veröffentlichung des Sicherheitshinweises durch Microsoft am 26. Januar 2026 tauchten die ersten Waffen-Dokumente auf. Die Geschwindigkeit der Angreifer ist bemerkenswert: Ein gefundenes Dokument mit dem Namen „Consultation_Topics_Ukraine(Final).doc“ gab sich als EU-Unterlage zu Ukraine-Themen aus und wurde laut Metadaten nur einen Tag nach Microsofts Advisory erstellt.
Parallel lief eine gezielte Phishing-Kampagne, die das ukrainische Hydrometeorologische Zentrum imitierte. Dabei wurden E-Mails mit einem schädlichen DOC-Anhang an über 60 Adressaten, vorrangig ukrainische Regierungsbehörden, verschickt. Sicherheitsforscher führen diese Angriffe auf die bekannte Gruppe APT28 (auch UAC-0001) zurück. Technisch nutzt das Angriffsskript eine WebDAV-Verbindung, um eine schädliche Verknüpfungsdatei nachzuladen, die dann weitere Malware-Komponenten installiert.
Dringende Handlungsempfehlungen für alle Nutzer
Aufgrund der aktiven Ausnutzung reagierte Microsoft ungewöhnlich schnell: Das Unternehmen veröffentlichte bereits am 26. Januar Notfall-Updates außerhalb des regulären „Patch Tuesday“-Rhythmus. Die Patches betreffen Microsoft 365, Office 2019 und Office LTSC 2021.
Die US-Cybersicherheitsbehörde CISA nahm die Lücke umgehend in ihren Katalog bekannter, ausgenutzter Schwachstellen auf. Für US-Bundesbehörden ist die Installation des Patches bis zum 16. Februar 2026 verpflichtend. Nationale Behörden wie das BSI in Deutschland empfehlen allen Unternehmen und Privatanwendern dringend, die Updates sofort einzuspielen. Nutzer von Office 2021 und neuer müssen die Anwendungen nach dem Update neu starten, damit der Schutz aktiv wird.
Office bleibt im Fadenkreuz der Angreifer
Der Vorfall unterstreicht erneut, dass Microsoft Office ein Hauptziel für Cyberangriffe auf Unternehmen und Behörden bleibt. Die rasante Umwandlung der Schwachstelle in ein funktionierendes Exploit zeigt die Agilität moderner Bedrohungsakteure. Zwar scheinen die aktuellen Kampagnen noch gezielt – doch mit der öffentlichen Bekanntmachung steigt das Risiko, dass auch weniger versierte Angreifer die Lücke für breiter angelegte Attacken nutzen.
Neben der sofortigen Installation der Patches bleibt die Sensibilisierung der Mitarbeiter für Phishing-Versuche eine entscheidende Verteidigungsschicht. IT-Sicherheitsteams sollten ihre Netzwerke auf Verbindungen zu bekannten Schad-Domains wie freefoodaid[.]com oder wellnesscaremed[.]com überwachen. Die Analyse der Malware-Nutzlasten läuft noch und wird weitere Aufschlüsse über die langfristigen Ziele der Angreifer geben.
PS: Technik‑Patches sind wichtig – doch viele Angriffe funktionieren über psychologische Tricks. Das Anti‑Phishing‑Paket liefert praxisnahe Prüf‑Listen, E‑Mail‑Vorlagen für Warnhinweise an Mitarbeiter und Schritt‑für‑Schritt‑Anleitungen, wie Sie CEO‑Fraud und WebDAV‑Nachlade‑Tricks erkennen und stoppen. Ideal für IT‑Verantwortliche und Sicherheitsbeauftragte, die kurzfristig Schutz stärken wollen. Anti‑Phishing‑Paket kostenlos anfordern
