Was ist passiert?
CVE-2026-21509 betrifft Microsoft 365 Apps in den Varianten Enterprise und LTSC. Angreifer können durch speziell präparierte OLE-Objekte in Office-Dokumenten (Word, Excel, PowerPoint) beliebigen Schadcode auf dem Zielsystem ausführen – vollständig ohne aktivierte Makros. Der Angriff erfordert lediglich, dass das Opfer das Dokument öffnet. Ein klassischer Initial-Access-Vektor: das Dokument im E-Mail-Anhang.
Microsoft hat einen Patch im Rahmen des regulären Update-Zyklus bereitgestellt. Systeme, die automatische Updates deaktiviert haben oder zentral verwaltet werden, sind bis zur manuellen Aktualisierung exponiert.
Wen betrifft es?
Alle Organisationen, die folgende Produkte einsetzen:
- ▸Microsoft 365 Apps for Enterprise
- ▸Microsoft 365 Apps LTSC
Was ist zu tun?
- 1.Sofort – Update forcieren: Auf allen Geräten manuell aktualisieren: Datei → Konto → Updateoptionen → Jetzt aktualisieren.
- 2.Zentral verwaltete Umgebungen: Deployment über Microsoft Endpoint Manager / Intune sofort anstossen.
- 3.Geschützte Ansicht prüfen: Sicherstellen, dass die "Geschützte Ansicht" für Anhänge aus dem Internet in den Office-Optionen aktiv ist – sie blockiert die Ausführung von OLE-Objekten, bis die Bearbeitung explizit aktiviert wird.
- 4.E-Mail-Gateway: Prüfen, ob Office-Dokumente aus externen Quellen gefiltert oder in einer Sandbox geöffnet werden.
- 5.Awareness: Mitarbeitende darauf hinweisen, keine unerwarteten Office-Anhänge zu öffnen – auch von bekannten Absendern.
Dieses Advisory dient der Information. Für eine Analyse deiner Update-Strategie kontaktiere uns.