Der Microsoft Patch Tuesday im Februar 2026 zaehlt zu den sicherheitsrelevantesten Updates der juengeren Vergangenheit. Insgesamt wurden 58 Schwachstellen in Windows, Office und verwandten Komponenten geschlossen, darunter sechs 0-Day-Luecken, die bereits aktiv ausgenutzt oder vorab offengelegt waren. Parallel startet Microsoft eine globale Erneuerung der Secure-Boot-Zertifikate, die mittel- bis langfristig alle Windows-Systeme betrifft.
Umfang der Microsoft-Sicherheitsupdates im Februar 2026
Von den 58 geschlossenen Schwachstellen stuft Microsoft fuenf als kritisch ein: drei Privilege-Escalation-Bugs und zwei Informationslecks. Die uebrigen werden als wichtig eingestuft, decken aber ein breites Spektrum an Angriffsvektoren ab – von Bypass von Sicherheitsmechanismen ueber Lokale Denial-of-Service-Angriffe bis hin zu Schwachstellen in Remote-Diensten.
Nach Microsofts Definition gelten als 0-Day-Schwachstellen sowohl Fehler, die vor der Verfuegbarkeit eines Patches oeffentlich bekannt wurden, als auch solche, fuer die bereits funktionierende Exploits existieren. Im Februar wurden sechs 0-Days behoben, darunter die vorab offengelegten CVEs CVE-2026-21510, CVE-2026-21513 und CVE-2026-21514. In typischen Angriffsketten dienen solche Luecken haeufig als Einstiegspunkt, bevor spaeter Privilege-Escalation-Exploits zur Uebernahme des Systems genutzt werden (vgl. MITRE ATT&CK, T1068).
Secure-Boot-Zertifikate: strategische Schluesselrotation in der Windows-Oekosystem
Parallel zu den regulären Patches startet Microsoft eine stufenweise Ablösung der seit 2011 gueltigen Secure-Boot-Root-Zertifikate, deren Laufzeit Ende Juni 2026 endet. Laut Windows-Serviceverantwortlichem Nuno Costa erreichen diese Root Keys nach mehr als einem Jahrzehnt im Einsatz ihr geplantes Lebensende; eine kontrollierte Rotation ist aus kryptographischer und operativer Sicht Best Practice, wie auch NIST-Richtlinien zur Schlüsselverwaltung empfehlen.
Wie Secure Boot die Startkette von Windows absichert
Secure Boot ist ein Sicherheitsmechanismus im UEFI-Firmware-Umfeld. Er prueft beim Systemstart die digitalen Signaturen von Bootloadern und Treibern. Nur vertrauenswuerdig signierter Code wird ausgefuehrt. Damit sollen Bootkits und Rootkits blockiert werden, die versuchen, sich noch vor dem Start des Windows-Kernels festzusetzen. Praktisch entsteht eine Vertrauenskette von der Firmware bis zum Betriebssystemkern.
Microsoft gibt an, dass die meisten seit 2024 ausgelieferten PCs die neuen Zertifikate bereits ab Werk enthalten. Bei aelteren Geraeten ist ein Firmware-Update der OEMs erforderlich. Neue Zertifikate werden nur dann automatisch uebernommen, wenn Systeme nach den aktuellen Windows-Updates stabil laufen – ein vorsichtiger Ansatz, um Ausfaelle in grossen Flotten zu minimieren.
Risiken fuer Unternehmen bei ausstehenden UEFI- und Secure-Boot-Updates
Unternehmen, die Firmware-Updates vernachlaessigen, laufen Gefahr, dass veraltete Secure-Boot-Zertifikate mittelfristig zu Bootproblemen oder Inkompatibilitaeten mit kuenftigen Sicherheitsrichtlinien fuehren. Aus Sicht eines reifen Patch-Management-Prozesses (z.B. nach NIST SP 800-40) sollten Organisationen jetzt Hardwareinventare aktualisieren, OEM-Supportseiten pruefen und einen phasenweisen UEFI-Rollout – erst Testsysteme, dann produktive Umgebungen – etablieren.
0-Day-Exploits in SmartScreen, MSHTML und Word: Angriffe auf Schutzmechanismen
CVE-2026-21510 betrifft Windows SmartScreen und Windows Shell und ermoeglicht einen Bypass des Mark-of-the-Web (MoTW). Angreifer koennen speziell praepierte Links oder LNK-Dateien einsetzen, um Schadcode ohne die ueblichen Sicherheitswarnungen auszufuehren. Praktisch unterlaufen sie damit einen zentralen Mechanismus, der Dateien mit Internet-Herkunft kennzeichnet und zusaetzliche Schutzabfragen ausloest.
CVE-2026-21513 ist eine weitere Defence-Bypass-Schwachstelle, diesmal im HTML-Rendering-Framework MSHTML. Durch praezise manipulierte HTML- oder LNK-Dateien laesst sich Code ausfuehren, sobald ein Benutzer die Datei oeffnet. Microsoft haelt technische Details zur Ausnutzung zurueck, was bei aktiv ausgenutzten 0-Days ueblich ist, um Nachahmer zu bremsen.
CVE-2026-21514 betrifft Microsoft Word und erlaubt den Bypass von OLE-Schutzmechanismen in Microsoft 365 und Office. Angreifer muessen ein praepiertes Dokument zustellen und ein Oeffnen durch das Opfer erreichen. Positiv: Ueber die Outlook-Vorschau laesst sich der Exploit nach Microsofts Angaben nicht ausloesen, was das Risiko ungefragter Drive-by-Infektionen reduziert.
Alle drei 0-Days wurden in Zusammenarbeit von Google Threat Intelligence Group (GTIG), internen Microsoft-Teams und unabhaengigen Forschern entdeckt. Da GTIG sich laut oeffentlichen Berichten stark auf kommerzielle Spyware-Anbieter und staatlich gesteuerte APT-Gruppen konzentriert, ist von gezielten Spionagekampagnen als Haupteinsatzszenario auszugehen.
Privilege Escalation und DoS: kritische Bausteine der Post-Exploitation
CVE-2026-21519 ist eine Privilege-Escalation-Schwachstelle im Desktop Window Manager (DWM). Ein erfolgreicher Exploit verschafft Angreifern SYSTEM-Rechte und ist damit besonders wertvoll in der Post-Exploitation-Phase, wenn nach initialem Zugriff (z.B. durch Phishing oder 0-Day in Office) eine vollstaendige Uebernahme des Rechners angestrebt wird.
CVE-2026-21525 beschreibt eine Denial-of-Service-Luecke im Windows Remote Access Connection Manager, verursacht durch Dereferenzierung eines Nullzeigers. Forscher von ACROS Security (0patch) fanden Ende 2025 einen Exploit im oeffentlichen Malware-Repositorium. Die qualitativ hochwertige Kombination mehrerer Bugs deutet auf professionell agierende Betreiber hin, die DoS sowohl zur Sabotage als auch zur Verschleierung anderer Aktivitaeten nutzen koennten.
CVE-2026-21533 ist eine weitere Privilege-Escalation-Luecke, diesmal in den Windows Remote Desktop Services, entdeckt von CrowdStrike. Der Exploit manipuliert einen Konfigurationsschluessel der RDS-Dienste und ermoeglicht es, einen neuen Benutzer in die Gruppe der lokalen Administratoren aufzunehmen. Noch liegen keine eindeutigen Kampagnenzuordnungen vor, jedoch ist nach der zu erwartenden Veröffentlichung detaillierter Exploit-Techniken mit rasch ansteigender Aktivitaet zu rechnen.
Praxisempfehlungen: Patch-Management und Härtung von Windows- und Office-Umgebungen
Organisationen sollten die Februar-Updates fuer Windows und Office priorisiert ausrollen, beginnend mit Systemen mit Internet-Exposition, Remote-Desktop-Servern und Administrator-Workstations. Ein kontrollierter Rollout mit Staging (Test, Pilot, breiter Rollout) reduziert Betriebsrisiken und entspricht etablierten Best Practices fuer Patch-Management.
Ergaenzend empfiehlt sich eine Härtung der Endpunkte: Einschraenkung der Ausfuehrung von Skripten und LNK-Dateien, drastische Reduktion von Office-Makros, Einsatz von AppLocker oder aehnlichen Application-Control-Loesungen, sowie konsequente Protokollierung und Ueberwachung von Ereignissen rund um Benutzerrechte, Dienstkonfigurationen und Remote-Desktop-Anmeldungen. Moderne EDR-Loesungen (Endpoint Detection & Response) koennen hier zusaetzliche Telemetrie und automatisierte Reaktion liefern.
Unternehmen sollten den anstehenden Secure-Boot-Zertifikatswechsel fruehzeitig in ihre Roadmaps einplanen: Firmware-Update-Strategien mit OEMs abstimmen, Abhaengigkeiten zu BitLocker, Netzwerk-Boot und Virtualisierung pruefen und Rueckfallpläne fuer Fehlkonfigurationen vorbereiten. Patch Tuesday sollte sich zu einem standardisierten, auditierbaren Prozess entwickeln – mit regelmaessigem Reporting an das Management, um Sicherheits- und Verfuegbarkeitsziele in Einklang zu bringen und das Risiko erfolgreicher Kompromittierungen nachhaltig zu reduzieren.
