Was ist passiert?
Am 26. Januar 2026 veröffentlichte Microsoft einen Out-of-Band-Notfall-Patch für CVE-2026-21509 (CVSS 7.8). Die Schwachstelle umgeht die OLE-Schutzmaßnahmen in Microsoft 365 und Office, die normalerweise verhindern, dass eingebettete COM/OLE-Objekte in Dokumenten ausgeführt werden.
Bereits drei Tage nach der Veröffentlichung – am 29. Januar 2026 – begann die russische Angreifergruppe APT28 (Fancy Bear), die Lücke in gezielten Spear-Phishing-Kampagnen gegen Organisationen in der Ukraine, der Slowakei und Rumänien einzusetzen. Ziel war Credential-Harvesting.
CISA hat die Schwachstelle am 3. Februar 2026 in den KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen.
Wen betrifft es?
Alle Nutzer der folgenden Microsoft-Produkte:
- ▸Microsoft Office 2016
- ▸Microsoft Office 2019
- ▸Microsoft Office LTSC 2021
- ▸Microsoft Office LTSC 2024
- ▸Microsoft 365 Apps for Enterprise
Angriffsszenario
1. Angreifer sendet präpariertes Office-Dokument per E-Mail (Spear-Phishing). 2. Opfer öffnet Dokument – OLE-Schutz wird umgangen. 3. Eingebettetes Objekt kontaktiert Angreifer-Server → Credentials werden via NTLM Relay oder ähnliche Techniken gestohlen. 4. Mit gültigen Credentials: Zugang zum Netzwerk, Mail-Postfächer, SharePoint etc.
Was ist zu tun?
1. Microsoft Office/M365 sofort aktualisieren – Patch vom 26. Januar 2026 oder neuer installieren. 2. NTLM-Authentifizierung einschränken – wo möglich auf Kerberos umstellen, SMB-Signing erzwingen. 3. E-Mail-Sicherheit verschärfen – externe Office-Dokumente im Mailgateway auf Makros und OLE-Objekte prüfen. 4. Mitarbeitende sensibilisieren – insbesondere für unerwartete Office-Dokumente von externen Absendern. 5. Monitoring: Unbekannte ausgehende SMB/HTTP-Verbindungen aus Office-Prozessen überwachen.
--- Dieses Advisory dient der Information. Für eine Bewertung Ihrer Angriffsfläche kontaktieren Sie uns.