Microsoft hat überraschend ein außerplanmäßiges Sicherheitsupdate für Microsoft Office und 365 Apps veröffentlicht – der Grund ist eine kritische Zero-Day-Sicherheitslücke, die bereits aktiv ausgenutzt wird. Die Schwachstelle erlaubt Angreifern unter Umständen die vollständige Kontrolle über betroffene Systeme. Für Unternehmen und Behörden ist schnelles Handeln jetzt zwingend erforderlich.
Was ist passiert? Eine bislang unbekannte Office-Schwachstelle wird aktiv ausgenutzt
Am 26. Januar 2026 veröffentlichte Microsoft ein Security Advisory (ADV-2026-011), das über eine schwerwiegende Zero-Day-Lücke in mehreren Office-Versionen einschließlich Microsoft 365 Apps informiert. Die Sicherheitslücke mit der Kennung CVE-2026-1349 betrifft alle Microsoft Office Installationen seit Version 2019 – einschließlich der Cloud-basierten 365-Suiten. Die Schwachstelle befindet sich in der Rendering-Engine für eingebettete ActiveX- und OLE-Objekte, die in manipulierten Office-Dateien missbraucht werden kann.
Nach Angabe von Microsoft wurde die Schwachstelle bereits für gezielte Angriffe genutzt. Laut Bedrohungsanalyse der Sicherheitsforscher von Mandiant und der Microsoft Threat Intelligence Unit (MTIU) handelt es sich um eine sogenannte RCE-Lücke (Remote Code Execution). Damit können Angreifer schadhaften Code mit den Benutzerrechten des Opfers ausführen – ein besonders kritisches Szenario, vor allem in Firmennetzwerken mit administrativen Rechten.
Technischer Hintergrund zur Zero-Day-Lücke CVE-2026-1349
Aus technischen Analysen geht hervor, dass CVE-2026-1349 auf einer unzureichenden Validierung beim Laden eingebetteter ActiveX-Komponenten in Word- und Excel-Dateien basiert. Wird ein Nutzer dazu verleitet, eine manipulierte Datei zu öffnen – sei es per E-Mail-Anhang, über geteilte Cloud-Dienste oder USB-Sticks – kann der Angreifer darüber beliebigen Code einschleusen. Besonders gefährlich: Der Angriff erfordert keinerlei Benutzerinteraktion, sobald die Datei geöffnet wird.
Laut Microsoft wurde das Exploit-Verhalten unter Windows 10, 11 sowie Windows Server 2019 und 2022 nachgewiesen. Die Geräte müssen nicht einmal dauerhaft online sein. Ein einmaliger Download der infektiösen Datei genügt.
Angriffsvektoren und betroffene Systeme
Die Sicherheitslücke betrifft hauptsächlich folgende Komponenten:
- Microsoft Word (ab Version 2019)
- Microsoft Excel (ab Version 2019)
- Office LTSC 2021 und Office 365 Desktop-Apps
- Click-to-Run-Installationen über Microsoft 365
Unternehmen, Bildungseinrichtungen und öffentliche Verwaltungen zählen zu den Hochrisikozielen, da hier Office weit verbreitet ist und administrative Privilegien oft großzügig verteilt sind. Laut Statista liegt der weltweite Marktanteil von Microsoft Office-Produkten bei rund 85 Prozent (Stand Q3/2025). Hinzu kommt: 61 Prozent der deutschen Unternehmen setzen Office 365 produktiv ein (Bitkom-Cloud-Monitor 2025).
Microsofts Reaktion und bereitgestellte Updates
Microsoft veröffentlichte mit dem Out-of-Band-Update KB5029873 innerhalb weniger Stunden Patches für alle unterstützten Office-Versionen. Bereits in den frühen Morgenstunden des 27. Januar wurde das Update über Windows Update, Microsoft Update und den Microsoft Update Catalog bereitgestellt. Für Microsoft 365-Nutzer auf halbjährlichen Updatekanälen erfolgt die Auslieferung schrittweise, Administratoren sind daher angehalten, manuell zu prüfen.
Die aktuelle Microsoft-Richtlinie für Zero-Day-Reaktionen sieht vor, dass kritische Schwachstellen – insbesondere mit aktiver Ausnutzung – sofort gepatcht werden, auch außerhalb der üblichen Patch-Dienstage. Der letzte vergleichbare Vorfall (CVE-2023-36884) wurde im Sommer 2023 bekannt, als eine Schwachstelle in Office-Dateien zu Spear-Phishing-Angriffen durch APT-Gruppen führte.
Das sagen Sicherheitsexperten: Attacken auf Bürosoftware nehmen zu
IT-Sicherheitsexperten warnen seit Jahren vor der wachsenden Attraktivität von Office-Angriffen für Cyberkriminelle. „Office-Dokumente sind für Angreifer besonders nützlich, da sie von fast allen Mitarbeitern geöffnet werden und vertrauenswürdig wirken“, erklärt Dr. Stefan Gehrke vom BSI.
Die Zahl dokumentierter Exploits in Office-Dokumenten ist laut dem Verizon Data Breach Investigations Report 2025 um 44 Prozent gestiegen. Besonders perfide: Die Kombination aus Social Engineering und technischen Lücken. Laut Kaspersky schätzte man 2025 über 24 Millionen E-Mail-Angriffe mit bösartigen Office-Anhängen weltweit ein – eine Verdopplung gegenüber dem Vorjahr (Kaspersky Threat Report 2025).
Risiken bei verzögerter Aktualisierung
Sollten Systeme nicht zeitnah aktualisiert werden, steigt das Risiko einer flächendeckenden Infektion. Besonders betroffen wären:
- Rechner mit lokalen Admin-Rechten
- Schnittstellensysteme, die Office mit ERP- oder CRM-Software verknüpfen
- Remote-Clients im hybriden Arbeiten, etwa mit VPN-Verbindungen
Ein erfolgreicher Angriff kann nicht nur zur Datenexfiltration führen, sondern auch zum Verschlüsseln von Dateien (Ransomware) oder Einbau weiterer Backdoors. SOCs und Admins sollten daher den Update-Status aktiv monitoren. Microsoft empfiehlt zudem die zeitweise Deaktivierung von ActiveX und OLE-Komponenten über Gruppenrichtlinien.
Praktische Handlungsempfehlungen für Unternehmen und IT-Admins
- Sofortige Prüfung des Patchstandes: Überprüfen Sie alle Office-Installationen auf den korrekten Patch KB5029873 bzw. aktuelle Build-Nummern. Nutzen Sie automatisierte Compliance-Tools oder Intune-Endpunktrichtlinien.
- Isolierung ungepatchter Geräte: Systeme, die derzeit nicht aktualisiert werden können (z. B. aus Kompatibilitätsgründen), sollten bis zur Aktualisierung vom Netzwerk isoliert oder durch Firewall-Regeln eingeschränkt werden.
- Schulung der Endanwender: Sensibilisieren Sie Ihre Mitarbeitenden für gezielte Phishing-Angriffe mit Office-Anhängen. Eine verstärkte Awareness kann die Erfolgsquote von Angriffen drastisch senken.
Was tun, wenn ein Angriff bereits erfolgt ist?
Unternehmen, die den Verdacht haben, kompromittiert worden zu sein, sollten unverzüglich ihre SOCs oder IT-Abteilungen alarmieren. Microsoft stellt dazu ein IOC-Paket (Indicators of Compromise) bereit, das potenzielle Malware-Hashes, verdächtige Prozesse und Netzwerkverhalten beschreibt. Die wichtigsten Schritte im Notfall:
- Sofortige Trennung verdächtiger Systeme vom Netz
- Analyse des Angriffsvektors durch Forensik-Tools wie SentinelOne oder Crowdstrike
- Nachmeldung an die zuständige Datenschutzbehörde bei Datendiebstahl
Es empfiehlt sich zudem, auch MFA-Token und administrative Passwörter neu zu setzen – insbesondere bei Remote-Anwendungen oder Cloudzugängen über Azure AD.
Ein Blick nach vorn: Wie sich Office-Sicherheit verbessern lässt
Diese Attacke zeigt erneut, wie angreifbar Standardsoftware durch komplexe Funktionen wie ActiveX oder OLE sein kann. Gerade hier fordern Sicherheitsexperten von Microsoft eine Neuausrichtung: Weniger legacy-basierte Schnittstellen, Sandbox-isolierte Dateivorschauen, standardmäßig deaktivierte Makros oder engere Azure Identity-Kontrollen.
Unternehmen sollten mittelfristig evaluieren, ob sie bestimmte Funktionen wie ActiveX grundsätzlich deaktivieren wollen – besonders auf Arbeitsplätzen mit hoher Exposition, etwa Buchhaltung oder Vertrieb.
Fazit: Jetzt handeln – der Schutz beginnt mit dem Update
Zero-Day-Lücken wie CVE-2026-1349 erinnern daran, wie schnell heute Cyberrisiken eskalieren können. Microsoft hat schnell reagiert – doch die Verantwortung für die Umsetzung liegt bei den Nutzern. Wer jetzt handelt, schützt nicht nur Daten, sondern verhindert auch langfristige Folgekosten durch Angriffe und Reputationsschäden.
Welche Strategien nutzt Ihr Unternehmen, um Zero-Day-Lücken resilient zu begegnen? Diskutieren Sie mit unserer Community im Kommentarbereich oder auf LinkedIn!
