Microsoft schließt sechs gefährliche Zero-Day-Lücken
14.02.2026 - 06:09:11
Microsoft hat in seinem aktuellen Sicherheitsupdate mehr als 50 kritische Schwachstellen geschlossen – darunter sechs Zero-Day-Lücken, die bereits aktiv ausgenutzt werden. Die Patches für Windows und Office sind dringend, da Angreifer damit Sicherheitswarnungen umgehen und Systeme übernehmen können.
Sicherheitsbarrieren ausgehebelt
Im Zentrum der Krise stehen Lücken, die Windows‘ eigene Abwehrmechanismen lahmlegen. Die kritischste Schwachstelle, CVE-2026-21510, betrifft die Windows-Shell. Angreifer können damit speziell präparierte Links oder Verknüpfungen verschicken, die die Warnungen von Windows Defender und SmartScreen einfach überspringen. Das Opfer erhält keinen Hinweis mehr, bevor schädlicher Code ausgeführt wird.
Zwei weitere Zero-Days nutzen ähnliche Tricks: CVE-2026-21513 im MSHTML-Framework und CVE-2026-21514 in Microsoft Word. Beide erlauben es, über manipulierte Dokumente oder Webinhalte Schutzvorkehrungen zu umgehen. „Diese Lücken sind besonders tückisch“, erklärt ein Sicherheitsexperte. „Sie machen die digitalen ‚Geschwindigkeitsbremsen‘ unwirksam, die Nutzer eigentlich zum Nachdenken bringen sollen.“
Angreifer neutralisieren zuerst die Verteidigung
Die aktive Ausnutzung dieser Lücken passt in ein bedenkliches Muster: Immer häufiger zielen Cyberkriminelle gezielt auf die Deaktivierung von Sicherheitstools ab. Besonders gefährlich sind sogenannte BYOVD-Angriffe (Bring Your Own Vulnerable Driver). Dabei nutzen Erpressungssoftware-Gruppen legitime, aber fehlerhafte Treiber, um Kernel-Zugriff auf ein System zu erlangen.
Mit diesen höchsten Berechtigungen können sie dann Sicherheitsprozesse – einschließlich Microsoft Defender – beenden, bevor die eigentliche Schadsoftware installiert wird. „Die Angreifer schalten erst die Alarmanlage aus, dann brechen sie ein“, verdeutlicht eine Analystin. Die Februar-Patches beheben die konkreten Exploits, doch der grundsätzliche Kampf um die Sicherheit des Windows-Kerns geht weiter.
Systemübernahme als Endziel
Nach dem ersten Einbruch geht es für Angreifer oft darum, möglichst viele Rechte zu erlangen. Hier kommen weitere gepatchte Zero-Days ins Spiel: CVE-2026-21519 im Desktop Window Manager und CVE-2026-21533 in den Windows Remote Desktop Services erlauben es, von einfachen Nutzerrechten auf SYSTEM-Berechtigungen zu eskalieren.
Mit diesem Vollzugriff auf den Rechner haben Angreifer freie Hand: Sie können Sicherheitssoftware deaktivieren, dauerhafte Schadprogramme installieren, Daten stehlen und sich im Netzwerk ausbreiten. Eine weitere Lücke, CVE-2026-21525, ermöglicht sogar Denial-of-Service-Angriffe auf VPN-Verbindungen. Die Kombination aus Einbruch, Rechteausweitung und Systemübernahme macht diese Lücken so gefährlich.
Was Nutzer jetzt tun müssen
Die gleichzeitige Veröffentlichung von Patches für sechs aktiv ausgenutzte Zero-Days unterstreicht die Aggressivität des aktuellen Bedrohungslandschaft. Microsoft und Googles Threat Analysis Group haben die Exploits bei realen Angriffen beobachtet.
Für alle Nutzer und Administratoren gilt daher höchste Dringlichkeit: Die Sicherheitsupdates vom Februar 2026 müssen umgehend auf allen betroffenen Windows- und Office-Systemen installiert werden. Zusätzlich zum Patchen bleibt die Aufklärung über Phishing und manipulierte Links essenziell, denn Social Engineering öffnet vielen technischen Angriffen erst die Tür.
Wer sich gegen solche Angriffe wappnen möchte, sollte neben dem Einspielen von Patches auch Awareness und organisatorische Maßnahmen stärken. Ein kostenloses E‑Book „Cyber Security Awareness Trends“ fasst praxisnahe Schutzmaßnahmen zusammen, zeigt, wie Sie Phishing erkennen, Mitarbeitende schulen und Ihre IT-Sicherheit ohne große Investitionen verbessern können. Jetzt kostenlosen Cyber-Security-Guide herunterladen
Das Wettrennen zwischen Sicherheitsanbietern und Cyberkriminellen wird auch 2026 weitergehen.
Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.
