Microsoft Office: Russische Hacker nutzen kritische Lücke für Spionage

Eine kritische Sicherheitslücke in Microsoft Office wird aktiv von russischen Staatshackern ausgenutzt. Sie zielen damit auf Regierungen und kritische Infrastruktur in Osteuropa. Microsoft hat bereits ein Notfall-Update veröffentlicht.

Die als CVE-2026-21509 bekannte Schwachstelle ermöglicht es Angreifern, die integrierten Sicherheitsvorkehrungen in Office-Anwendungen zu umgehen. Betroffen sind zahlreiche Versionen, darunter Office 2016, 2019, Office LTSC 2021 und Microsoft 365 Apps for Enterprise. Die US-Cybersicherheitsbehörde CISA hat die Lücke als akut bedrohlich eingestuft und fordert US-Behörden zur sofortigen Installation des Patches auf.

APT28 schlägt blitzschnell zu

Hinter der Angriffswelle steht die als APT28 oder „Fancy Bear“ bekannte Hackergruppe, die dem russischen Militärgeheimdienst GRU zugerechnet wird. Die Geschwindigkeit der Attacke ist bemerkenswert: Bereits drei Tage nach Veröffentlichung des Microsoft-Patches am 26. Januar 2026 nutzte die Gruppe die Lücke aktiv aus.

Die Angriffe beginnen mit gezielten Phishing-E-Mails. Diese enthalten manipulierte RTF-Dokumente, die als Einladungen zu NATO-Diplomaten-Treffen, militärische Trainingshinweise oder Warnungen vor Waffenschmuggel getarnt sind. Teilweise wurden sogar kompromittierte Regierungs-E-Mail-Konten für den Versand genutzt, um den Anschein von Legitimität zu erhöhen.

Warum sind 73 % der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet? Die jüngste Office-Lücke CVE-2026-21509 zeigt, wie schnell Phisher und staatliche APTs manipulierte Dokumente nutzen, um Systeme zu kompromittieren. Das kostenlose E‑Book „Cyber Security Awareness Trends“ fasst praxisnahe Schutzmaßnahmen zusammen – von E‑Mail‑Härtung und EDR‑Konfiguration bis zu Notfall‑Playbooks für IT‑Teams. Mit Checklisten und Prioritäten speziell für KMU und Behörden – sofort umsetzbar. Gratis Cyber‑Security‑Guide herunterladen

Öffnet ein Opfer das Dokument, startet eine mehrstufige Infektionskette. Sie umgeht den Office-Schutz, lädt Schadsoftware von fremdgesteuerten Servern nach und installiert Hintertüren. Sicherheitsforscher identifizierten mindestens zwei Schadprogramme: Den Backdoor „MiniDoor“, der E-Mails des Opfers abfängt, und den bisher unbekannten „PixyNetLoader“, der das System für weitere Schadsoftware vorbereitet.

Fokus auf NATO-Partner in Osteuropa

Die primären Ziele der Kampagne liegen klar in Osteuropa. Es wurden Attacken auf Organisationen in der Ukraine, der Slowakei, Polen, Rumänien und Slowenien bestätigt. Neben Regierungs-, Militär- und diplomatischen Einrichtungen stehen auch der maritime und Transportsektor im Fokus.

Die gewählten Köder-Themen deuten auf ein klares Ziel hin: Die Angreifer wollen offenbar Erkenntnisse über internationale Politik und Verteidigungsabsprachen im Kontext des Ukraine-Kriegs gewinnen. Die Taktik und die verwendeten Werkzeuge passen zum klassischen Profil von APT28, das sich auf Spionage im russischen strategischen Interesse spezialisiert hat.

Dringender Handlungsbedarf für alle Nutzer

Microsoft hat dringende Handlungsanweisungen veröffentlicht. Für Nutzer von Microsoft 365 Apps und Office 2021 wurden serverseitige Schutzmaßnahmen automatisch bereitgestellt, die nach einem Neustart der Programme wirksam werden.

Nutzer älterer Versionen wie Office 2016 und 2019 müssen jedoch aktiv werden. Sie müssen das Sicherheitsupdate manuell installieren oder eine spezifische Registrierungsänderung vornehmen, um die anfälligen Komponenten zu blockieren. Cybersicherheitsexperten betonen: Das Warten auf den regulären Patch-Zyklus ist hier keine Option. Die blitzschnelle Reaktion der Hacker zeigt, dass die Bedrohungsakteure oft schneller sind als interne IT-Prozesse.

Ein Weckruf für die IT-Sicherheit

Dieser Vorfall unterstreicht erneut, wie stark verbreitete Unternehmenssoftware wie Microsoft Office im Visier staatlicher Hacker steht. Die erfolgreiche Umgehung der OLE-Sicherheitstechnologie, einer jahrzehntealten Office-Kernfunktion, stellt eine erhebliche Schwächung etablierter Schutzmaßnahmen dar.

Die Zukunft wird wahrscheinlich weitere Phishing-Kampagnen mit diesem Exploit gegen ungepatchte Systeme bringen. Sicherheitsteams sollten ihre Überwachung für verdächtige E-Mail-Aktivitäten, insbesondere mit RTF-Anhängen, verstärken und ihre Mitarbeiter für die Erkennung von Phishing-Versuchen schulen.

Über das schnelle Patchen hinaus braucht es eine mehrschichtige Sicherheitsstrategie. Dazu gehören robuste E-Mail-Sicherheitslösungen, Endpoint Detection and Response (EDR)-Tools und Netzwerksegmentierung. In einer Zeit anhaltender geopolitischer Spannungen bleibt die Cyber-Domäne ein umkämpfter Raum – mit kritischer Infrastruktur und Behörden an vorderster Front.

PS: Wenn Sie Microsoft Office im Einsatz haben, lohnt sich ein kompakter Umsetzungsleitfaden. Das kostenlose E‑Book erklärt in klaren Schritten, wie Sie Phishing‑Indikatoren erkennen, Registrierungs‑Härtungen vornehmen, EDR integrieren und Notfall‑Reaktionsabläufe trainieren – ohne teure Zusatzlösungen. Perfekt für Sicherheitsteams, die Lücken wie OLE‑Exploits schnell schließen wollen. Jetzt kostenloses Cyber‑Security‑E‑Book anfordern