Folgen 
Kurz nach der Veröffentlichung des Januar Patch Tuesday, der 114 Schwachstellen behebt, darunter einen Zero-Day im Windows Desktop Manager (CVE-2026-20805), brachte Microsoft eilig ein dringendes Update außerhalb der Reihe heraus, um einen weiteren aktiv ausgenutzten Fehler zu beheben. Dieses Mal zielen Angreifer auf CVE-2026-21509, einen Zero-Day in Microsoft Office, der es Bedrohungsakteuren ermöglicht, integrierte Sicherheitsfunktionen zu umgehen.
Angesichts der von Microsoft bestätigten Ausnutzungsfälle wurde die Schwachstelle umgehend hinzugefügt zum Katalog der Exploited Vulnerabilities (CKEV) der CISA, der US-amerikanische zivile Bundesbehörden verpflichtet, diese bis zum 16. Februar 2026 zu patchen.
Microsoft-Produkte bleiben ein lukratives Ziel für Zero-Day-Angriffe, wobei im letzten Jahr 41 Schwachstellen als Zero-Days identifiziert wurden, von denen 24 für Angriffe in freier Wildbahn genutzt wurden, laut Tenable. Das Windows-Betriebssystem und Office-Komponenten bleiben die primären Angriffsvektoren, wobei dieser Trend bis 2026 anhält.
Melden Sie sich für die SOC Prime Plattform an, die den weltweit größten Erkennungs-Intelligenz-Datenbestand zusammenführt und eine umfassende Produktsuite bietet, die SOC-Teams in die Lage versetzt, alles von Erkennung bis Simulation nahtlos zu handhaben. Die Plattform bietet eine große Sammlung von Regeln, die kritische Exploits und Cyberbedrohungen jeder Raffinesse adressieren. Drücken Sie einfach Erkennungen erkunden und bohren Sie sofort bis zu einem relevanten Erkennungsstapel, der nach dem “CVE”-Tag gefiltert ist.
Alle Regeln sind auf den neuesten MITRE ATT&CK® Framework v18.1 abgebildet und sind mit mehreren SIEM-, EDR- und Data Lake-Plattformen kompatibel. Jede Regel ist zudem mit umfangreichen Metadaten ausgestattet, einschließlich CTI Referenzen, Angriffsabläufen, Audit-Konfigurationen und mehr.
Cyber-Verteidiger können auch Uncoder AI verwenden, um ihre Routine in der Erkennungstechnik zu optimieren. Wandeln Sie Rohbedrohungsberichte in umsetzbare Verhaltensregeln um, testen Sie Ihre Erkennungslogik, kartieren Sie Angriffsabläufe, wandeln Sie IOCs in Jagdqueries um, oder übersetzen Sie Erkennungscode sofort in andere Sprachen, unterstützt durch die Leistungsfähigkeit von KI und tiefes Cybersecurity-Know-how hinter jedem Schritt.
CVE-2026-21509 Analyse
Am 26. Januar 2026 veröffentlichte Microsoft eine Beratung zur Beschreibung einer Sicherheitsfunktionsumgehungsschwachstelle, die Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 und Microsoft 365 Apps für Unternehmen betrifft.
Das Sicherheitsproblem entsteht durch die Abhängigkeit von Microsoft Office von nicht vertrauenswürdigen Eingaben bei Sicherheitsentscheidungen. Dies ermöglicht es nicht authentifizierten lokalen Hackern, eine Sicherheitsfunktion zu umgehen. Insbesondere ermöglicht CVE-2026-21509 den Bedrohungsakteuren, OLE-Mitigationen in Microsoft 365 und Office zu umgehen und Benutzer für anfällige COM/OLE-Steuerelemente zu exponieren.
Die Ausnutzung umfasst in der Regel, dass der Benutzer überzeugt wird, eine bösartige Office-Datei zu öffnen, die der Angreifer gesendet hat. Während Microsoft darauf hinweist, dass das Vorschaufenster nicht direkt ein Angriffsvektor ist, kann die Schwachstelle dennoch durch Angriffe mit geringer Komplexität und Benutzerinteraktion missbraucht werden.
Microsoft verdankt seinen internen Cybersicherheitsforschungsteams die Offenlegung der Schwachstelle und gibt nur sehr wenige Informationen zu den Ausnutzungsfällen preis. Die Sicherheitsmeldung bestätigt jedoch nur Exploit-Versuche in freier Wildbahn. Ein öffentliches PoC-Exploit ist nicht verfügbar, was darauf hindeutet, dass nur eine begrenzte Anzahl von Bedrohungsakteuren die Schwachstelle in gezielten Kampagnen genutzt haben könnte.
Bemerkenswerterweise sind Benutzer von Office 2021 und später automatisch durch eine dienstseitige Korrektur geschützt, nachdem die Anwendungen neu gestartet wurden. Office 2016 und 2019 erfordern entweder die Installation des bevorstehenden Sicherheitsupdates oder manuelles Anwenden einer Registrierung Änderung, um anfällige COM/OLE-Steuerelemente zu blockieren. Dies beinhaltet das Hinzufügen eines bestimmten Unterkeys unter dem COM-Kompatibilitätsregistrierungsknoten und das Setzen eines Kompatibilitätsflags DWORD-Werts auf 400. Benutzer sollten die Registrierung sichern, bevor sie Änderungen vornehmen und Office neu starten, um den Schutz wirksam werden zu lassen.
Organisationen, die sich auf die entsprechenden Microsoft Office-Produkte verlassen, werden aufgefordert, die Patches sofort anzuwenden oder die im Beratungsdokument beschriebenen Minderungsmaßnahmen zu befolgen. Zudem können durch die Verbesserung der Verteidigung mit der AI-Nativen Erkennungs-Intelligenz Plattform von SOC Prime, SOC-Teams Erkennungsinhalte aus dem größten und aktuellsten Repository beziehen, nahtlos die gesamte Pipeline von der Erkennung bis zur Simulation in ihre Sicherheitsprozesse überführen, Workflows in ihrer natürlichen Sprache orchestrieren und mühelos in der sich ständig ändernden Bedrohungslandschaft navigieren, während sie die Verteidigung auf breiter Front stärken.
