Microsoft hat mit seinen aktuellen Sicherheitsupdates mehrere Zero-Day-Lücken geschlossen, die Angreifer bereits aktiv ausnutzen. Besonders betroffen sind Unternehmen, die auf Excel-Automatisierung setzen.
Die Patch-Tuesday-Updates vom Februar 2026 beheben rund 60 Schwachstellen in Windows, Office und Azure. Sechs davon waren bereits zum Veröffentlichungszeitpunkt Zero-Day-Lücken – also Sicherheitslöcher, die Hacker schon kannten und attackierten. Für alle Nutzer von Excel mit Visual Basic for Applications (VBA) sind die Updates überlebenswichtig. Sie verhindern, dass Angreifer über manipulierte Dokumente Systeme übernehmen, Daten stehlen oder Ransomware einschleusen.
Zwei Lücken umgehen zentrale Office-Abwehrmechanismen
Zwei der aktiv ausgenutzten Schwachstellen sind besonders tückisch. Sie untergraben grundlegende Schutzvorkehrungen gegen schädliche Office-Dateien.
Die erste Lücke, CVE-2026-21514, ermöglicht es, die OLE-Sicherheitsmaßnahmen in Microsoft Office zu umgehen. OLE (Object Linking and Embedding) ist die Technologie, mit der Office-Anwendungen Objekte wie Excel-Diagramme in Word-Dokumente einbetten. Ein Angriff über diese Schwachstelle könnte speziell präparierte Dateien dazu bringen, Sicherheitsprotokolle zu ignorieren, die normalerweise die Ausführung von Schadcode blockieren.
Noch kritischer ist CVE-2026-21510. Diese Lücke umgeht das „Mark of the Web“ (MOTW) in der Windows-Shell. Diese fundamentale Schutzfunktion kennzeichnet alle Dateien, die aus dem Internet heruntergeladen wurden. Office-Anwendungen wie Excel öffnen solche Dateien standardmäßig im geschützten Modus und deaktivieren Makros. So sollen automatisierte Skripte nur mit ausdrücklicher Nutzererlaubnis laufen. Ein erfolgreicher Angriff über diese Lücke könnte eine schädliche Datei dem System als vertrauenswürdig präsentieren – alle Warnungen blieben aus, und Nutzer wären viel eher bereit, den gefährlichen Inhalt zu aktivieren.
Erhöhtes Risiko für automatisierte Geschäftsprozesse
Diese Schwachstellen sind eine handfeste Bedrohung für alle Organisationen, die Excel VBA zur Prozessautomatisierung nutzen. Ein passwortgeschütztes VBA-Projekt schützt zwar den Quellcode vor neugierigen Blicken. Gegen Exploits, die die Anwendungsumgebung selbst angreifen, hilft es nicht. Die nun gepatchten Lücken wirken auf einer Ebene, die bösartige Befehle ausführen kann, noch bevor ein Nutzer überhaupt mit dem VBA-Code interagiert.
Dass diese Schwachstellen „in the wild“ aktiv ausgenutzt werden, unterstreicht die Dringlichkeit. Die Angriffsvektoren nutzen oft Social Engineering: Nutzer werden per E-Mail dazu verleitet, einen schädlichen Link oder ein manipuliertes Dokument zu öffnen. Sind die MOTW-Sicherheitswarnungen erst einmal umgangen, steigt die Erfolgschance von Phishing-Kampagnen erheblich. Die Nutzer verlieren ein kritisches visuelles Warnsignal. Die Lücken könnten zu einer Rechteausweitung führen, mit der Angreifer nach einem ersten Zugriff schließlich die vollständige Kontrolle über ein System erlangen.
Microsofts Empfehlung: Sofort updaten!
Microsoft drängt IT-Administratoren und Privatanwender gleichermaßen, die bereitgestellten Sicherheitsupdates prioritär einzuspielen. Die Patches beheben die Umgehungen von Sicherheitsfunktionen, Probleme bei der Rechteausweitung und weitere Schwachstellen im gesamten Software-Ökosystem des Konzerns.
Diese Vorfälle machen deutlich: Patches sind wichtig, aber allein nicht ausreichend. Unser kostenloses E‑Book erklärt kompakt, welche Sofortmaßnahmen IT‑Verantwortliche jetzt umsetzen sollten — von EDR-Strategien über gezielte Nutzer‑Schulungen bis zu organisatorischen Abläufen, die Phishing- und VBA‑Risiken minimieren. Jetzt kostenloses E‑Book ‚Cyber Security Awareness Trends‘ herunterladen
Dieser monatliche Fix-Batch zeigt den anhaltenden Wettlauf zwischen Softwareentwicklern und Cyberkriminellen. Microsoft hat in den letzten Jahren Office-Anwendungen deutlich abgehärtet und blockiert VBA-Skripte aus Internetquellen standardmäßig. Doch Lücken wie CVE-2026-21510 beweisen: Angreifer suchen unermüdlich nach Wegen, diese grundlegenden Sicherheitsmaßnahmen zu unterwandern.
Folgen für die IT-Sicherheitsstrategie
Die Abhängigkeit von VBA für geschäftskritische Automatisierung ist nach wie vor groß. Doch die anhaltenden Sicherheitsprobleme zeigen die inhärenten Risiken dieser veralteten Technologie. Dieser Vorfall ist eine deutliche Erinnerung: Auf „Defense-in-Depth“ kommt es an. Sich allein auf VBA-Projektpasswörter oder die Wachsamkeit der Mitarbeiter zu verlassen, reicht nicht aus.
Robuste Sicherheit erfordert drei Säulen: stets vollständig gepatchte Systeme, moderne Endpoint-Detection-and-Response-Tools (EDR) und die kontinuierliche Schulung der Nutzer im Umgang mit unbekannten Dateianhängen. Für viele Unternehmen dürfte dieser Zwischenfall den Trend beschleunigen, legacy VBA-Automatisierungen auf modernere und sicherere Plattformen wie Microsoft Power Automate oder Office Scripts zu migrieren. Diese wurden von Grund auf mit einer robusteren Sicherheitsarchitektur entworfen.
