Microsoft schließt aktiv ausgenutzte Sicherheitslücke in Office
Aktualisiert am January 29, 2026 Lesedauer: 4 Minuten
Microsoft hat am 26. Januar 2026 außerplanmäßige Updates veröffentlicht, um die Sicherheitslücke CVE-2026-21509 in Microsoft Office zu schließen. Die Schwachstelle wird laut Security-Teams bereits aktiv ausgenutzt und ist in CISA-Listen für bekannte ausgenutzte Lücken erfasst.
Betroffen sind unter anderem Office 2016 und Office 2019 sowie Office LTSC 2021/2024 und Microsoft 365 Apps for Enterprise.
Für Organisationen ist das ein klarer Auftrag: Installationstyp prüfen, Updates ausrollen und den Patchstand verifizieren.
Was passiert ist
Am 26. Januar 2026 wurde CVE-2026-21509 in der National Vulnerability Database (NVD) veröffentlicht. Die NVD beschreibt die Lücke als "reliance on untrusted inputs in a security decision" in Microsoft Office, wodurch sich eine Sicherheitsfunktion lokal umgehen lässt. Hinterlegt sind außerdem ein CVSS-Score von 7.8 (HIGH) sowie die Zuordnung zu CWE-807.
Microsoft stellte am 26. Januar 2026 ein Security Update für Office 2016 bereit: KB5002713. Laut Microsoft Support behebt es eine Microsoft-Word-Schwachstelle vom Typ "security feature bypass" und verweist explizit auf CVE-2026-21509.
Für Admins ist der Installationsweg entscheidend. KB5002713 gilt für die Microsoft-Installer-Variante (MSI) von Office 2016 und nicht für Click-to-Run Installationen.
Als "Applies To" nennt Microsoft Office Standard 2016, Office Professional 2016, Office Professional Plus 2016, Office Home and Business 2016, sowie Office Home and Student 2016.
Für Office 2019 dokumentiert Microsoft in der Update-Historie für Volumenlizenzen ein Release vom 26. Januar 2026: Version 1808 (Build 10417.20095).
In derselben Dokumentation weist Microsoft darauf hin, dass der Support für volumenlizenzierte Office-2019-Versionen am 14. Oktober 2025 endete, Microsoft aber nach eigenem Ermessen weiterhin Updates bereitstellen kann.
Die Sophos Counter Threat Unit ordnet die Lücke als Umgehung von OLE-Sicherheitsmaßnahmen ein. Demnach können Angreifer Object Linking and Embedding (OLE)-Mitigations umgehen, die in Microsoft Office und Microsoft 365 integriert sind. Ausnutzung erfordert, dass ein Nutzer eine speziell präparierte Office-Datei öffnet.
Auch staatliche Hinweise griffen den Vorfall auf. Das Canadian Centre for Cyber Security vermerkt in seinem Microsoft-Rollup (AV26-024, Update 1), dass Microsoft am 26. Januar 2026 ein außerplanmäßiges Advisory zu CVE-2026-21509 veröffentlichte und dass CISA die Lücke am 26. Januar 2026 in seine KEV-Datenbank aufgenommen hat.
Warum das wichtig ist
Ein "Security Feature Bypass" ist oft ein Verstärker für reale Angriffe. Der Kern ist, dass Schutzmechanismen, die als zusätzliche Barriere gedacht sind, nicht zuverlässig greifen. In dokumentbasierten Angriffsketten kann das den Unterschied machen, ob ein präparierter Anhang hängen bleibt oder durchkommt.
Für Lernende und Junior-Admins zeigt der Fall, worauf es im Alltag ankommt: Inventar und Versionen sauber erfassen, Updates reproduzierbar verteilen und danach prüfen. Diese Routine ist die Grundlage für Incident Response, Security Operations und DevOps.
Auch Entwicklerteams profitieren indirekt. Office-Dateien sind in vielen Unternehmen Standard in Workflows (Tickets, HR, Reporting, Freigaben).
Wer Systeme baut, die Dokumente annehmen oder weiterreichen, sollte sie als untrusted input behandeln und mit klaren Upload-Regeln, Scans, Sandboxing und Rechtebegrenzung arbeiten.
Kennzahlen
- CVE: CVE-2026-21509 (NVD)
- CVSS v3.1 Base Score: 7.8 (HIGH), Vektor AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H (NVD)
- CWE: CWE-807 "Reliance on Untrusted Inputs in a Security Decision" (NVD)
- NVD-Zeitstempel: Published 26. Januar 2026, Last Modified 27. Januar 2026 (NVD)
- CISA KEV (laut NVD): Date Added 26. Januar 2026, Due Date 16. Februar 2026
- Office 2016 MSI Patch: KB5002713 (Microsoft Support)
- Office 2016 Download Center (26. Januar 2026): x64-Datei 8.8 MB, x86-Datei 6.7 MB
- Office 2016 File Hashes (SHA256, KB5002713):
- x86: B38C414FF7D176304654C7EE1428ED8017ECF14976DDD388B353407307F7E571
- x64: 5CEF1BF48791227462BA0D750B30C8F4443456CF24F7DAF17BFB84F3B7D7AFFC
- Office 2019 Volume License Release: 26. Januar 2026, Version 1808 (Build 10417.20095) (Microsoft Learn)
Kontext
Die Kombination aus aktivem Exploit-Signal und außerplanmäßigem Update ist ein Muster, das Security-Teams ernst nehmen. Zusätzlich listet die NVD für CVE-2026-21509 einen KEV-Eintrag mit Fristdatum 16. Februar 2026, was in vielen Organisationen als Priorisierungsanker dient.
Für Unternehmen ist der Fall auch ein Reminder, wie unterschiedlich Office-Updates aussehen können. Microsoft 365 Apps laufen meist über Updatekanäle, MSI-Installationen über KB-Pakete und WSUS. Ohne klare Inventarisierung ist es leicht, vermeintlich "gepatcht" zu sein, obwohl einzelne Geräte noch alte Stände haben.
Was als Nächstes zu tun ist
-
Installationstyp klären: Office 2016 MSI oder Click-to-Run, Office 2019 Volumenlizenz oder Retail/C2R.
-
Office 2016 MSI-Patchen: KB5002713 über Microsoft Update, Update Catalog oder Download Center verteilen. Microsoft weist darauf hin, dass die Release-Version von Office 2016 installiert sein muss.
-
Office 2019 Volumenlizenz aktualisieren: auf Version 1808 (Build 10417.20095) heben und in einer Office-App unter Datei > Konto verifizieren.
-
Neustart und Verifikation: Nach dem Rollout Office-Prozesse und gegebenenfalls Geräte neu starten, danach Versionen und Patchstände stichprobenartig prüfen.
-
Datei-Handling härten: Anhänge aus externen Quellen isoliert öffnen, Schutzansicht- und Policy-Defaults prüfen und Freigabe-Workflows für Dokumente vereinheitlichen.
-
Upgrade-Plan aktivieren: Für Office 2016/2019 (Supportende 14. Oktober 2025) sollten Migrationen geplant werden, damit Security-Fixes planbar bleiben.
Wie du tiefer einsteigen kannst
- Cybersecurity Bootcamp: Patch-Management und Incident Response üben]
- Webentwicklung Bootcamp: sichere Upload- und Dokumenten-Workflows bauen
- Lernzentrum: kostenlose Kurse und Workshops als Security-Refresh]