Microsoft hat ein Notfall-Update für eine schwerwiegende Zero-Day-Schwachstelle in Office veröffentlicht, die bereits aktiv ausgenutzt wird. Die Lücke ermöglicht Angreifern, Sicherheitsbarrieren zu umgehen.
Redmond, 26. Januar 2026 – Der Software-Riese reagiert auf einen akuten Notfall: Eine neu entdeckte Sicherheitslücke in Microsoft Office wird bereits in der Wildnis für Attacken genutzt. Die als CVE-2026-21509 geführte Schwachstelle erlaubt es Angreifern, zentrale Schutzmechanismen zu umgehen. Das Ziel? Nutzer dazu zu bringen, ein speziell präpariertes, schädliches Office-Dokument zu öffnen. Die Veröffentlichung eines außerplanmäßigen Patches unterstreicht die Dringlichkeit.
Welche Software ist betroffen?
Die Sicherheitslücke betrifft eine breite Palette der beliebten Bürosoftware. Konkret listet Microsoft in seiner heutigen Warnung folgende Versionen auf:
* Microsoft Office 2016
* Microsoft Office 2019
* Microsoft Office LTSC 2021
* Microsoft Office LTSC 2024
* Die cloud-basierten Microsoft 365 Apps for Enterprise
Der Angriffsweg ist klassisch, aber wirkungsvoll: Ein Angreifer erstellt ein manipuliertes Dokument und bringt das Opfer per Social Engineering dazu, es zu öffnen. Die Schwachstelle umgeht spezielle OLE-Sicherheitsvorkehrungen, die eigentlich vor bösartigen Steuerelementen in Dokumenten schützen sollen.
Passend zum Thema manipulierte Office‑Dokumente und gefährliche E‑Mail‑Anhänge: Viele erfolgreiche Angriffe beginnen genau so. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie Mitarbeiter sensibilisieren, verdächtige Mails erkennen und Anhänge sicher prüfen. Enthalten sind Checklisten für Administratoren, Trainingsvorlagen und konkrete Vorlagen für interne Warnhinweise. Anti‑Phishing‑Paket jetzt kostenlos herunterladen
Patch-Status: Ein Rennen gegen die Zeit
Microsoft hat Updates für die LTSC-Versionen 2021 und 2024 sowie für die Microsoft 365 Apps for Enterprise bereitgestellt. Für Unternehmen mit Abonnement sollten diese Updates automatisch eingespielt werden.
Doch es gibt ein großes Problem: Für die immer noch weit verbreiteten Versionen Office 2016 und 2019 sind die Patches noch nicht verfügbar. Microsoft kündigte an, sie „so schnell wie möglich“ nachzureichen. Diese Verzögerung lässt Millionen von Nutzern vorübergehend ungeschützt – eine gefährliche Lücke im globalen IT‑Gefüge.
Administratoren müssen jetzt priorisieren: Wo möglich, sofort patchen; wo nicht, die Nutzer sensibilisieren. Die größte Gefahr geht aktuell von manipulierten Anhängen in E‑Mails aus.
Hektischer Sicherheits-Januar für Microsoft
Das Notfall-Update kommt nur wenige Wochen nach dem regulären „Patch Tuesday“ im Januar 2026, bei dem Microsoft bereits 114 andere Schwachstellen geschlossen hatte. Darunter war ein weiterer, aktiv ausgenutzter Zero-Day-Fehler.
Die Entscheidung für einen außer der Reihe veröffentlichten Patch zeigt: Die Bedrohung war zu akut, um auf den nächsten geplanten Update-Zyklus im Februar zu warten. Für die IT-Sicherheitsteams vieler Unternehmen bedeutet dies erneut Überstunden.
Implikationen: Ein Angriff auf das Sicherheitsvertrauen
Die Entdeckung einer aktiv genutzten Zero-Day-Lücke in einer allgegenwärtigen Software wie Office ist ein Alarmsignal. Sie unterstreicht, wie hartnäckig Angreifer nach neuen Schwachstellen in geschäftskritischen Anwendungen suchen.
Experten weisen darauf hin, dass Lücken, die etablierte Sicherheitsfunktionen aushebeln, besonders gefährlich sind. Sie untergraben das grundlegende Vertrauen in Schutzmechanismen, auf das sich Nutzer und Unternehmen verlassen. Die Attacke zeigt erneut: Technische Patches allein reichen nicht aus. Die letzte Verteidigungslinie bleibt ein wachsamer Nutzer, der verdächtige Dokumente skeptisch hinterfragt.
Für die vielen Administratoren, die noch auf die Patches für Office 2016 und 2019 warten müssen, bleibt die Lage angespannt. Sie müssen ihre Systeme besonders genau überwachen. Für die gesamte Branche ist es ein weiteres Kapitel im nie endenden Wettlauf zwischen Angreifern und Verteidigern.
PS: Sie können nicht sofort alle Systeme patchen? Dieser kostenlose Leitfaden liefert sofort umsetzbare Abwehrmaßnahmen gegen Social‑Engineering‑Angriffe, inklusive Vorlagen für interne Warnungen, Checklisten zur schnellen Eindämmung und einfachen Konfigurationsschritten, die das Risiko von E‑Mail‑basierten Infektionen deutlich senken. Jetzt Anti‑Phishing‑Leitfaden anfordern
