Microsoft: Kritische Office-Lücke gefährdet Millionen Outlook-Nutzer

Microsoft schließt über 100 Sicherheitslücken – darunter eine kritische Schwachstelle in Office, die bereits beim Vorschau-Lesen einer E-Mail ausgenutzt werden kann. Die Updates vom ersten „Patch Tuesday“ 2026 zählen zu den umfangreichsten der letzten Jahre und erfordern sofortiges Handeln.

Die am 13. Januar veröffentlichten Sicherheitsupdates beheben zwischen 112 und 114 einzelne Schwachstellen. Acht davon stuft Microsoft als kritisch ein. Besonders brisant: Mehrere Lücken in Microsoft Office ermöglichen Remote Code Execution (RCE). Angreifer könnten Schadcode ausführen, indem Nutzer lediglich eine manipulierte Datei in der Vorschau von Outlook oder dem Windows-Explorer ansehen – ohne sie zu öffnen. Diese „Zero-Click“-Methode unterläuft gängige Sicherheitsschulungen.

Im Zentrum der Warnungen stehen drei kritische Sicherheitslücken (CVE-2026-20952, CVE-2026-20953, CVE-2026-20944) mit einem hohen CVSS-Score von 8,4. Die Angriffsvektoren sind die Vorschau-Fenster in Outlook und der Windows-Dateiverwaltung.

Ein speziell präpariertes Office-Dokument – etwa eine Word- oder Excel-Datei – reicht aus. Wird die entsprechende E-Mail oder Datei nur ausgewählt und in der Vorschau angezeigt, kann der Schadcode bereits ausgeführt werden. „Diese Art von Lücke ist für Phishing-Kampagnen hochgefährlich“, erklärt ein Sicherheitsexperte. „Sie macht die häufigste Verteidigung – die Wachsamkeit der Nutzer – wirkungslos.“ Als sofortige Notlösung empfehlen Analysten, die Vorschau-Funktion zu deaktivieren, falls die Updates nicht sofort eingespielt werden können.

Viele Outlook-Nutzer unterschätzen, wie gefährlich falsch konfigurierte Vorschau- und Sicherheits-Einstellungen sind. Der kostenlose Outlook‑Spezialkurs erklärt Schritt für Schritt, wie Sie Outlook sicher einrichten, typische Fehlerquellen vermeiden und wichtige Einstellungen (inkl. Datenspeicherung, PST-/OST‑Sicherung und Provider‑Konfiguration) korrekt setzen. Ideal für IT‑Administratoren und Büroanwender, die ihre Postfächer schnell härten wollen. Jetzt Outlook-Installationsanleitung herunterladen

Massen-Update zum Jahresauftakt

Das Januar-Update ist eines der umfangreichsten der letzten Zeit. Es betrifft Windows-Betriebssysteme, Microsoft Office, SharePoint Server und SQL Server. Neben den acht kritischen werden über 100 als „wichtig“ eingestufte Lücken geschlossen. Die Bandbreite reicht von Rechteausweitung und Offenlegung von Informationen bis hin zur Fernausführung von Code.

Die hohe Zahl an Patches ist nicht ungewöhnlich. Oft häufen sich nach der ruhigeren Feiertagsphase im Dezember die fälligen Sicherheitsupdates. Besonders kritisch sind diesmal RCE-Lücken in Excel (CVE-2026-20955, CVE-2026-20957) und im Windows Local Security Authority Subsystem Service (LSASS). IT-Teams müssen die Dringlichkeit der Patches nun priorisieren und systematisch alle betroffenen Systeme aktualisieren.

Alarmstufe Rot: Zero-Day-Lücke bereits aktiv ausgenutzt

Die Dringlichkeit der Updates wird durch eine bereits aktiv ausgenutzte Zero-Day-Schwachstelle weiter erhöht. Die Lücke mit der Kennung CVE-2026-20805 betrifft den Desktop Window Manager (DWM) und ermöglicht die Offenlegung von Speicheradressen.

Obwohl sie mit einem CVSS-Score von 5,5 nur als „wichtig“ eingestuft wird, ist ihr Risikoprofil deutlich höher. Angreifer nutzen solche Informations-Lecks oft, um Sicherheitsfunktionen wie die Address Space Layout Randomization (ASLR) zu umgehen und sie mit anderen Exploits zu kombinieren. Die US-Cybersicherheitsbehörde CISA hat die Schwachstelle bereits in ihren Katalog bekannter, ausgenutzter Lücken aufgenommen und fordert US-Behörden auf, den Patch bis zum 3. Februar einzuspielen. Diese Deadline sollte für alle Unternehmen als Orientierung dienen.

Analyse: Das Sicherheits-Paradigma verschiebt sich

Das Auftauchen einer kritischen Vorschau-Fenster-Lücke markiert einen Wandel in den Angriffsmethoden. Der Fokus verschiebt sich von Social Engineering hin zur Ausnutzung von Kernfunktionen alltäglicher Anwendungen. Die gängige Sicherheitsregel „Nicht klicken“ verliert hier ihre Wirkung.

Die Gefahr einer „Zero-Click“-Kompromittierung in einem allgegenwärtigen Geschäftstool wie Outlook ist enorm. Sie öffnet Initial-Access-Brokern und Ransomware-Gruppen Tür und Tor. Gleichzeitig müssen Sicherheitsteams die kritischen Office-Patches priorisieren, ohne die weniger schwerwiegende, aber aktiv ausgenutzte DWM-Lücke zu vernachlässigen. Die Abwesenheit von Updates für On-Premise-Exchange-Server in diesem Monat erinnert zudem an das nahende Ende des Extended Security Update-Programms im April 2026.

Was jetzt zu tun ist

Die oberste Priorität für alle Unternehmen ist die sofortige Installation der Januar-Updates, insbesondere auf allen Rechnern mit Microsoft Office und Outlook. Die Zeitspanne zwischen Veröffentlichung der Patches und der Entwicklung funktionierender Exploits durch Angreifer ist extrem kurz.

IT-Administratoren müssen sicherstellen, dass die Updates auf allen Endgeräten erfolgreich installiert wurden. Wo dies nicht sofort möglich ist, ist das Deaktivieren der Vorschau in Outlook und dem Datei-Explorer ein unverzichtbarer Zwischenschritt. Die CISA-Frist für die Zero-Day-Lücke sollte als Mindestmaßstab für alle kritischen Patches dieses Releases gelten. Die Wachsamkeit für weitere Hinweise von Microsoft oder Cybersicherheitsbehörden muss in den kommenden Wochen hoch bleiben.

PS: Wenn Sie Outlook schnell und fehlerfrei einrichten möchten, bietet der kostenlose Outlook‑Spezialkurs praxisnahe Anleitungen, typische Problemlösungen und Zeitspar-Tipps für Mail‑, Kalender‑ und Synchronisationsprobleme. Besonders nützlich nach großen Patch‑Aktionen: Checklisten zur Datensicherung und Schritte, mit denen Sie versehentliche Konfigurationsfehler vermeiden. Ideal für Admins, die ihre E‑Mail‑Infrastruktur sofort härten wollen. Kostenlosen Outlook‑Spezialkurs anfordern