Microsoft schließt kritische Office-Lücke unter Druck von Hackern

Microsoft hat ein Notfall-Update für eine schwerwiegende Sicherheitslücke in Office veröffentlicht, die bereits aktiv ausgenutzt wird. Die Schwachstelle untergräbt zentrale Schutzmechanismen und betrifft Millionen Nutzer weltweit – auch in Deutschland.

CVE-2026-21509 ermöglicht es Angreifern, Sicherheitsbarrieren in Office-Dokumenten zu umgehen. Betroffen sind alle Versionen von Office 2016 bis hin zu den aktuellen Microsoft 365 Apps. Die US-Cybersicherheitsbehörde CISA hat die Lücke als akut gefährlich eingestuft und fordert Bundesbehörden auf, das Update bis zum 16. Februar 2026 einzuspielen.

So funktioniert die Angriffswelle

Die Attacke kombiniert technische Schwachstellen mit psychologischer Manipulation. Hacker nutzen speziell präparierte Dateien, die über Phishing-E-Mails verbreitet werden. Gelingt es, einen Nutzer zum Öffnen zu bewegen, können die Angreifer Schadcode ausführen – trotz eigentlich vorhandener Schutzmechanismen.

Phishing- und Vishing-Angriffe wie in diesem Bericht umgehen oft vorhandene Office-Schutzmechanismen und treffen Unternehmen genau dort, wo Updates und Push-Benachrichtigungen allein nicht ausreichen. Das kostenlose Anti‑Phishing‑Paket bietet eine praxisnahe 4‑Schritte-Anleitung zur Hacker‑Abwehr, erklärt CEO‑Fraud‑Methoden und liefert branchenspezifische Schutzmaßnahmen für Microsoft‑365-Umgebungen. Ideal für IT‑Verantwortliche, die jetzt schnell Lücken schließen wollen. In 4 Schritten vor Phishing schützen – Anti‑Phishing‑Paket anfordern

Für Nutzer der Cloud-Version Microsoft 365 hat Microsoft bereits serverseitige Korrekturen vorgenommen. Diese werden jedoch erst nach einem Neustart der Office-Anwendungen wirksam. Besonders kritisch ist die Situation für Unternehmen, die noch lokale Versionen wie Office 2016 oder 2019 einsetzen: Hier muss das Update manuell installiert werden.

Die neue Dimension der Phishing-Angriffe

Parallel zu den technischen Lücken entwickeln Cyberkriminelle ihre Methoden weiter. Besonders alarmierend sind neuartige Voice-Phishing-Angriffe („Vishing“), die sogar die Zwei-Faktor-Authentifizierung (2FA) aushebeln.

Die Täter rufen ihre Opfer direkt an und leiten sie in Echtzeit durch gefälschte Login-Portale. Während das Opfer denkt, einen legitimen MFA-Prompt zu bestätigen, erhält der Angreifer im Hintergrund Zugriff. Diese Taktik hat sich bereits als äußerst effektiv erwiesen, um Konten zu übernehmen und sensible Daten zu stehlen.

Die Lösung: Phishing-resistente Authentifizierung

Sicherheitsexperten sehen nur einen Ausweg: den Wechsel zu phishing-resistenten Authentifizierungsmethoden. Dazu zählen FIDO2-Sicherheitsschlüssel, Passkeys und zertifikatbasierte Verfahren.

Diese Technologien schaffen eine kryptografische Bindung zwischen dem Gerät des Nutzers und der legitimen Website. Selbst wenn ein Nutzer auf eine Phishing-Seite hereinfällt, scheitert die Authentifizierung, weil die kryptografische Prüfung nicht erfüllt werden kann. Microsoft bietet mit Microsoft Entra Conditional Access bereits die technische Grundlage, um solche Methoden verbindlich vorzuschreiben.

Was Unternehmen jetzt tun müssen

Die Priorität liegt klar auf dem sofortigen Einspielen des Notfall-Updates. IT-Abteilungen sollten den CISA-Termin als verbindliche Frist für alle Systeme ansehen.

Langfristig muss jedoch die Authentifizierungsstrategie überdacht werden. Unternehmen, die noch auf SMS-Codes oder einfache Push-Benachrichtigungen setzen, sind angreifbar. Die Integration von Passkeys in Microsoft Entra ID bietet einen konkreten Migrationspfad.

Die aktuelle Bedrohungslage zeigt: Die Kombination aus technischen Schwachstellen und ausgeklügelter Social Engineering stellt eine doppelte Herausforderung dar. Der Schutz sensibler Daten in der Microsoft-365-Cloud erfordert beides – schnelle Patches und eine moderne Authentifizierungsarchitektur.

PS: Diese Angriffswelle macht deutlich, wie schnell Angreifer selbst 2FA umgehen und Notfall‑Patches ausnutzen können. Sichern Sie Ihre Organisation mit einem kompakten Anti‑Phishing‑Guide: Checklisten für Vishing‑Erkennung, Handlungsanweisungen für Vorfälle und sofort umsetzbare Präventionsschritte helfen, Lücken nach Updates zu schließen. Jetzt Anti‑Phishing‑Guide herunterladen