Microsoft hat ausserplanmaessige Sicherheitsupdates fuer eine kritische Schwachstelle in Microsoft Office veroeffentlicht, die bereits in realen Angriffen ausgenutzt wird. Die Luecke mit der Kennung CVE-2026-21509 betrifft nahezu die gesamte aktuelle Produktlinie – von Office 2016 und Office 2019 ueber Office 2021 bis hin zu Microsoft 365 Apps for Enterprise. Damit steht sowohl der Privatbereich als auch die Unternehmens-IT unmittelbar unter Handlungsdruck.
CVE-2026-21509: Sicherheitsfeature-Bypass ueber COM/OLE in Microsoft Office
Die Schwachstelle CVE-2026-21509 wird von Microsoft mit einem CVSS-Score von 7,8 (High) bewertet. Technisch handelt es sich nicht um eine klassische Remote-Code-Execution-Luecke, sondern um einen Security-Feature-Bypass: Schutzmechanismen von Office lassen sich umgehen, wenn bestimmte COM/OLE-Komponenten angesprochen werden.
COM/OLE ist ein von Windows genutztes Framework, mit dem Anwendungen Objekte und Funktionen untereinander teilen. Laut Microsoft trifft Office sicherheitsrelevante Entscheidungen in diesem Kontext auf Basis von nicht vertrauenswuerdigen Eingabedaten. Ein Angreifer kann so lokale Schutzmassnahmen aushebeln und Aktionen ausloesen, die der Benutzer oder die Sicherheitsrichtlinien eigentlich verhindern sollten.
Security-Feature-Bypass-Schwachstellen sind besonders gefaehrlich, weil sie andere Schutzebenen entwerten. In mehrstufigen Angriffsketten dienen sie haeufig dazu, Sandboxing, Dokumentenschutz oder Trust-Center-Einstellungen zu umgehen und damit den Schaden nach einem erfolgreichen Phishing-Angriff deutlich zu vergroessern.
Angriffsszenario: Boesartige Office-Dokumente und Phishing-Kampagnen
Um CVE-2026-21509 auszunutzen, erstellt der Angreifer ein manipuliertes Office-Dokument und bringt das Opfer dazu, dieses bewusst zu oeffnen – typischerweise ueber Phishing-E-Mails mit Anhaengen oder Links zu vermeintlichen Rechnungen, Bewerbungen oder Partnerunterlagen.
Ein wichtiger Punkt fuer die Risikoabwägung: Die Windows-Vorschau (Preview-Pane) ist hier kein Angriffsvektor. Ein reines Anzeigen in der Vorschau reicht nicht aus; das Dokument muss explizit geoeffnet werden. In vielen Organisationen, in denen Mitarbeitende taeglich externe Dokumente bearbeiten, bleibt das Risiko dennoch hoch, weil dieses Nutzerverhalten tief im Arbeitsalltag verankert ist.
Branchenberichte wie der Verizon Data Breach Investigations Report zeigen seit Jahren, dass Phishing und Office-Dokumente zu den erfolgreichsten Initialzugriffsvektoren gehoeren. In der Praxis werden boesartige Dokumente haeufig mit Makros, eingebetteten Skripten oder weiterfuehrenden Exploits kombiniert. Ein Security-Feature-Bypass wie CVE-2026-21509 kann in solchen Szenarien dafuer sorgen, dass Schutzmechanismen von Office und Windows umgangen werden und Folgeschritte der Angreifer unbemerkt bleiben.
Betroffene Office-Versionen und Bereitstellung der Sicherheitsupdates
Laut Microsoft sind Office 2016, Office 2019, Office 2021 sowie Microsoft 365 Apps for Enterprise von der Schwachstelle betroffen. Fuer die juengeren Produktgenerationen, insbesondere Office 2021 und Microsoft 365, setzt Microsoft auf ein serverseitiges Update-Modell: Die Schutzregeln werden in der Microsoft-Infrastruktur aktualisiert und anschliessend bei den Clients wirksam.
Administratoren und Anwender muessen in diesen Umgebungen insbesondere sicherstellen, dass alle Office-Anwendungen neu gestartet werden, damit die aktualisierten Schutzmechanismen greifen. In Terminalserver- und VDI-Umgebungen, in denen Nutzer Office-Programme ueber laengere Zeit nicht schliessen, ist dies ein kritischer Punkt im Incident-Response-Plan.
Fuer Office 2016 und Office 2019 stellt Microsoft seit dem 26. Januar 2026 gesonderte Sicherheitsupdates bereit. Diese koennen ueber Windows Update, unternehmensinterne Update-Loesungen (z. B. WSUS, Endpoint Management) oder als Offline-Pakete installiert werden. Da die Schwachstelle bereits aktiv ausgenutzt wird, sollten Organisationen diese Patches im Rahmen ihrer Patch-Management-Strategie deutlich priorisiert behandeln.
Registry-Workaround: Härtung der angreifbaren COM-Komponente
COM-Compatibility-Schluessel zur Blockierung des betroffenen Components
Als zusaetzliche beziehungsweise temporaere Schutzmassnahme empfiehlt Microsoft eine Anpassung der Windows-Registry. Durch Anlegen eines Schluessels mit der CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} im Bereich COM Compatibility und Setzen des DWORD-Werts Compatibility Flags auf 0x400 wird die Nutzung der konkret betroffenen COM-Komponente eingeschraenkt.
Diese Massnahme sollte als Ergaenzung, nicht als Ersatz fuer das Sicherheitsupdate verstanden werden. Sie eignet sich vor allem fuer Umgebungen mit hohem Schutzbedarf oder fuer Systeme, auf denen Patches aus betrieblichen Gruenden kurzfristig nicht eingespielt werden koennen. Wie bei allen Registry-Aenderungen gilt: Vorher Backup erstellen und die Anpassung zunaechst in einer Testgruppe validieren.
Relevante Registry-Pfade fuer unterschiedliche Office-Installationen
Der genaue Pfad des COM-Compatibility-Schluessels haengt davon ab, ob Office per MSI oder Click-to-Run installiert wurde und welche Architektur genutzt wird. Fuer die haeufigsten MSI-Szenarien nennt Microsoft folgende Speicherorte:
64-Bit-MSI-Office auf 64-Bit-Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\
32-Bit-MSI-Office auf 64-Bit-Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\
In Unternehmensumgebungen sollten solche Einstellungen moeglichst zentral gesteuert werden, zum Beispiel ueber Gruppenrichtlinien oder Configuration-Management-Loesungen. Das reduziert Fehlerquellen und ermoeglicht ein kontrolliertes, schrittweises Ausrollen mit Monitoring der Auswirkungen auf Fachanwendungen.
Entdeckung der Schwachstelle und Einordnung fuer die Praxis
Microsoft gibt an, dass die Schwachstelle von internen Teams identifiziert wurde, darunter das Microsoft Threat Intelligence Center (MSTIC), das Microsoft Security Response Center (MSRC) und die Office-Produktsicherheit. Zugleich bestaetigt das Unternehmen, dass CVE-2026-21509 bereits in laufenden Angriffskampagnen ausgenutzt wird, ohne jedoch Details zu Angreifergruppen oder Angriffsumfaengen zu veroeffentlichen – eine uebliche Praxis, um Nachahmerangriffe zu erschweren.
Fuer die Sicherheitsstrategie bedeutet dies: CVE-2026-21509 ist typischerweise kein allein stehender Angriffsvektor, sondern Teil einer Kette aus Phishing, initialer Kompromittierung und anschliessender Privileg- oder Schutzmechanismen-Umgehung. Neben dem Einspielen der Patches sollten Unternehmen daher ihre E-Mail-Sicherheitskontrollen, das Blocking von Makros aus dem Internet, EDR-Loesungen sowie das
Organisationen und Privatanwender sollten nun zeitnah handeln: Sicherheitsupdates fuer alle betroffenen Office-Versionen einspielen, Office-Anwendungen vollstaendig neu starten, bei Bedarf den empfohlenen Registry-Workaround implementieren und interne Richtlinien zum Umgang mit E-Mail-Anhaengen und heruntergeladenen Dokumenten ueberarbeiten. Eine konsequente Update-Strategie, Misstrauen gegenueber unerwarteten Office-Dateien und klare technische Schutzmassnahmen zaehlen weiterhin zu den wirksamsten und zugleich kosteneffizientesten Mitteln, um Angriffe ueber Schwachstellen wie CVE-2026-21509 zu verhindern oder zumindest fruehzeitig zu erkennen.
