Microsoft schließt kritische Office-Lücke unter Notfall-Update

Microsoft hat ein Notfall-Update für eine schwerwiegende Zero-Day-Sicherheitslücke in Office veröffentlicht. Die bereits aktiv ausgenutzte Schwachstelle umgeht zentrale Schutzmechanismen gegen schädliche Dokumente.

Redmond, 26. Januar 2026 – Der Software-Riese reagiert damit außerhalb seines regulären „Patch Tuesday“-Zyklus auf die akute Bedrohung. Betroffen sind Millionen Nutzer weltweit, darunter auch viele deutsche Unternehmen und Behörden, die auf Microsoft-Produkte setzen.

Welche Office-Versionen sind betroffen?

Die Sicherheitslücke mit der Kennung CVE-2026-21509 betrifft eine breite Palette von Microsoft-Produktivitätssoftware. Konkret sind folgende Versionen gefährdet:
* Microsoft Office 2016
* Microsoft Office 2019
* Microsoft Office LTSC 2021
* Microsoft Office LTSC 2024
* Die cloudbasierten Microsoft 365 Apps for Enterprise

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) dürfte die Warnstufe für diese Lücke voraussichtlich hoch ansetzen. Microsoft bestätigt in seiner Sicherheitsempfehlung, dass die Schwachstelle bereits in aktiven Angriffen ausgenutzt wird.

So funktioniert die Angriffsmethode

Das Kernproblem liegt in der Verarbeitung von OLE-Komponenten (Object Linking and Embedding) durch Microsoft Office. Diese Technologie wird zum Einbetten und Verlinken von Dokumenten genutzt. Die Lücke ermöglicht es, genau die Schutzmechanismen zu umgehen, die Nutzer vor unsicheren OLE-Steuerelementen schützen sollen.

Für einen erfolgreichen Angriff muss ein Nutzer eine speziell präparierte, schädliche Office-Datei öffnen – eine klassische Social-Engineering-Methode, wie sie bei Phishing-Angriffen üblich ist. Die Vorschaufunktion in Outlook ist laut Microsoft kein Angriffsvektor; die Datei muss vollständig geöffnet werden.

Viele Angriffe starten mit präparierten Office‑Dateien und gezielten Phishing‑Mails — genau das, was diese Zero‑Day‑Lücke ausnutzt. Das kostenlose Anti‑Phishing‑Paket bietet eine sofort anwendbare 4‑Schritte‑Anleitung für Unternehmen: Erkennungsmuster, technische Maßnahmen (E‑Mail‑Filter, Signaturen, EDR‑Checks) und praxisnahe Vorlagen für Mitarbeiterschulungen. So reduzieren IT‑Teams kurzfristig das Risiko, bis alle Patches eingespielt sind. Anti‑Phishing‑Paket kostenlos herunterladen

Kritische Lücke: Updates für ältere Versionen fehlen

In einer brisanten Entwicklung hat Microsoft zwar Patches für die Microsoft 365 Apps und die neueren LTSC-Versionen bereitgestellt. Für die immer noch weit verbreiteten Versionen Office 2016 und Office 2019 stehen jedoch noch keine Sicherheitsupdates zur Verfügung.

Das Unternehmen kündigt an, diese „so bald wie möglich“ nachzureichen, nennt aber keinen konkreten Zeitplan. Nutzer dieser Versionen bleiben damit vorerst verwundbar.

Als vorübergehende Abhilfe bietet Microsoft für die betroffenen, ungepatchten Versionen technische Anleitungen an, die Änderungen in der Windows-Registrierung erfordern. Diese manuellen Eingriffe sind fehleranfällig und können bei falscher Handhabung die Systemstabilität gefährden.

Warum ist diese Lücke so gefährlich?

Die Dringlichkeit des Notfall-Updates unterstreicht die Ernsthaftigkeit der Bedrohung. Zero-Day-Lücken wie diese sind besonders tückisch: Sie sind dem Hersteller unbekannt, bis sie bereits in Angriffen genutzt werden. Das gibt Angreifern ein kritisches Zeitfenster.

Die allgegenwärtige Nutzung von Microsoft Office in Unternehmen weltweit macht die Lücke zum idealen Angriffsziel. Die Umgehung von Sicherheitswarnungen bedeutet, dass selbst vorsichtige Nutzer getäuscht werden und ihr System kompromittieren können.

Was sollten Unternehmen und Nutzer jetzt tun?

Die oberste Priorität ist die sofortige Inventur: Welche Office-Versionen sind im Einsatz? Für unterstützte und gepatchte Versionen muss das Update umgehend eingespielt werden. Nutzer von Microsoft 365 erhalten die Updates oft automatisch, sofern korrekt konfiguriert. On-Premise- und unverwaltete Systeme erfordern manuelles Eingreifen.

Für die gefährdeten Nutzer von Office 2016 und 2019 bleibt nur die Wahl zwischen dem Abwarten des Patches – und damit einem akzeptierten Risiko – oder der Implementierung der komplexeren Registry-Mitigation.

Sicherheitsexperten raten zudem, die Sensibilisierung der Mitarbeiter für Phishing-E-Mails zu verstärken. Antiviren- und Endpoint Detection and Response (EDR)-Lösungen sollten auf dem neuesten Stand sein, da Hersteller bald Signaturen zur Erkennung von Angriffen bereitstellen werden.

Bis auf Weiteres gilt erhöhte Vorsicht beim Öffnen unerwünschter Office-Dokumente aus unbekannten Quellen.

PS: Wenn Sie in Ihrer Organisation regelmäßig Office‑Dateien austauschen, hilft ein klarer Notfallplan. Das Anti‑Phishing‑Paket enthält zusätzlich branchenspezifische Beispiele, Checklisten zur schnellen Umsetzung und Vorlagen für interne Warnungen — ideal für IT‑Verantwortliche und Sicherheitsbeauftragte, die sofort handeln wollen. Kostenloser Download und sofort einsetzbare Vorlagen. Jetzt Gratis‑Anti‑Phishing‑Paket sichern