Microsoft: Kritische Word-Lücke ohne Patch, Excel-Update verfügbar
Veröffentlicht: 29.06.2026 um 14:05 Uhr, Redaktion boerse-global.de
Microsoft hat am Montag dringende Sicherheitsupdates veröffentlicht, die eine schwerwiegende Schwachstelle in Excel und Microsoft 365 Apps beheben. Parallel dazu wurden Angriffe auf eine bislang ungepatchte Zero-Day-Lücke in Microsoft Word gemeldet.
Der Softwarekonzern reagiert damit auf eine zunehmend angespannte Bedrohungslage. Die als CVE-2025-60727 identifizierte Excel-Lücke ermöglicht Angreifern die Ausführung von Schadcode auf dem Zielsystem – vorausgesetzt, ein Nutzer öffnet eine manipulierte Datei. Das klingt nach einem klassischen Phishing-Szenario, doch die eigentliche Brisanz liegt woanders.
Excel-Lücke: Gefahr durch präparierte Tabellen
Die Schwachstelle hat ihren Ursprung in einem Pufferfehler (CWE-125) beim Einlesen von Dateien. Betroffen sind zahlreiche Produkte: Microsoft 365 Apps (x86 und x64), Excel 2016, Office 2019, Office LTSC 2021 und 2024 sowie Office Online Server. Ein Angriff erfordert zwar die Interaktion des Nutzers, doch genau das macht ihn für Cyberkriminelle so attraktiv – sie setzen auf gut gemachte Phishing-Mails mit infizierten Anhängen.
Bislang gibt es keine bestätigten Berichte über aktive Ausnutzung der Lücke. Auch ein öffentlicher Proof-of-Concept-Code wurde nicht veröffentlicht. Dennoch raten Sicherheitsexperten zur Vorsicht: Administratoren sollten ungewöhnliche Prozesse überwachen, die von Excel gestartet werden – etwa Kommandozeilen oder PowerShell. Die geschützte Ansicht, blockierte Makros und Attack Surface Reduction (ASR)-Regeln gelten als wirksame Gegenmaßnahmen.
Zero-Day in Word: Angriff ohne Klick
Wesentlich alarmierender sind die Berichte vom vergangenen Sonntag. Sicherheitsforscher entdeckten eine Zero-Day-Lücke in Microsoft Word, die offenbar bereits aktiv ausgenutzt wird. Das Besondere: Es handelt sich um eine Zero-Click-Schwachstelle, die allein durch die Vorschau einer präparierten RTF-Datei ausgelöst wird.
Die Lücke umgeht die geschützte Ansicht – ein massives Problem. Angreifer können Code ausführen, ohne dass der Nutzer die Datei überhaupt öffnet. Microsoft hat noch keinen Patch veröffentlicht. Als Notlösung empfehlen Experten, den Vorschaubereich über Gruppenrichtlinien zu deaktivieren und RTF-Anhänge auf dem E-Mail-Gateway zu blockieren.
Angesichts der Zunahme von Zero-Click-Angriffen und präparierten Dateianhängen wird der Schutz der Unternehmens-IT immer komplexer. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen ohne hohe Investitionen erfüllen. IT-Sicherheits-Strategien für Unternehmer jetzt entdecken
Exchange Server und Edge im Visier
Microsoft hat zudem die Juni-Sicherheitsupdates für Exchange Server veröffentlicht. Sie betreffen die Subscription Edition sowie Exchange Server 2019 und 2016. Zwei Schwachstellen werden adressiert: CVE-2026-42897 und CVE-2026-45583. Der Fix für letztere – ebenfalls eine RCE-Lücke – muss derzeit noch manuell über ein Skript von GitHub eingespielt werden. Microsoft kündigte an, den Patch in ein künftiges kumulatives Update zu integrieren.
Parallel dazu hat Microsoft 119 schädliche Erweiterungen aus dem Edge-Add-on-Store entfernt. Die als „StegoAd" bekannte Kampagne war seit mindestens 2021 aktiv und nutzte Steganografie, um Schadcode zu verstecken. Die Erweiterungen wurden erst Tage nach der Installation aktiv – ein hinterhältiger Ansatz. Mehr als 2,6 Millionen Nutzer in Edge, Chrome und Firefox waren betroffen.
FBI warnt vor MFA-Bypass und russischen Hackern
Die US-Bundespolizei FBI hat eine Warnung zu „Kali365" herausgegeben, einer Phishing-as-a-Service-Plattform, die seit April 2026 aktiv ist. Die Plattform missbraucht den Device-Code-Login-Flow, um OAuth-Tokens zu stehlen. Damit umgehen Angreifer die Multi-Faktor-Authentifizierung (MFA) – ohne jemals ein Passwort zu benötigen. Für Unternehmen, die auf MFA als Sicherheitsanker vertrauen, ist das ein alarmierender Befund.
Nur drei Tage zuvor, am 26. Juni, veröffentlichten FBI und CISA eine gemeinsame Warnung vor Phishing-Kampagnen russischer Geheimdienste. Ziel sind Signal-Nutzer. Die Angreifer versuchen, Verifizierungscodes und Kont-PINs zu stehlen, um verschlüsselte Kommunikation zu kapern. Die Behörden empfehlen, Registrierungssperren zu aktivieren und alle Code-Anfragen über einen zweiten Kommunikationskanal zu verifizieren.
Phishing-Methoden wie der MFA-Bypass oder CEO-Fraud zeigen, dass technische Hürden allein oft nicht ausreichen, wenn die psychologische Manipulation der Mitarbeiter greift. Dieser Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt Ihnen, wie Sie Ihr Unternehmen in 4 Schritten effektiv schützen. Kostenloses Anti-Phishing-Paket herunterladen
Auch Dell und Google betroffen
Die Sicherheitslage bleibt angespannt. Dell hatte bereits am 8. Mai 2026 Schwachstellen im Wyse Management Suite mit Version 5.5 HF1 geschlossen. Die kritische Lücke CVE-2026-41120 erreichte einen CVSS-Score von 9,8 – und erforderte keine Nutzerinteraktion.
Und am heutigen Montag machten Forscher eine kritische Schwachstelle im Google Gemini CLI und den zugehörigen GitHub Actions öffentlich. CVE-2026-12537 ermöglicht Codeausführung auf CI-Plattformen durch Command Injection. Patches wurden bereits veröffentlicht.
