Microsoft: Sechs aktive Zero-Day-Lecks in kritischem Februar-Update

Microsoft schließt mit seinem aktuellen Sicherheitsupdate 59 Schwachstellen – sechs davon werden bereits aktiv ausgenutzt. Die US-Cybersicherheitsbehörde CISA stuft die Bedrohung als so gravierend ein, dass sie alle sechs Lecks in ihren Katalog bekannter, ausgenutzter Schwachstellen aufgenommen hat. Für Bundesbehörden in den USA gilt nun eine Frist zur Installation der Patches.

Das monatliche „Patch Tuesday“-Update für Februar 2026 enthält fünf als „Kritisch“ und 52 als „Wichtig“ eingestufte Sicherheitslücken. Sie betreffen das gesamte Microsoft-Ökosystem: von Windows über Office und Exchange Server bis hin zu Azure-Clouddiensten und Entwicklertools. Im Fokus der Angreifer stehen dabei vor allem Rechteausweitungen, die Möglichkeit zur Ausführung von Fremdcode und das Umgehen von Sicherheitsmechanismen.

Die sechs aktiven Zero-Day-Bedrohungen im Detail

Die größte Gefahr geht von den sechs Schwachstellen aus, für die bereits Exploits im Umlauf sind. Drei davon umgehen Sicherheitswarnungen und setzen auf Social Engineering:

• CVE-2026-21510 (Windows Shell): Ein manipuliertes Verknüpfungs- oder Linkfile kann die Warnungen von Windows SmartScreen umgehen und Schadcode ohne Nutzerhinweis ausführen.
• CVE-2026-21513 (MSHTML Framework): Durch das Öffnen einer speziell präparierten Datei können Sicherheitsprüfungen dieses HTML-Rendering-Moduls umgangen werden.
• CVE-2026-21514 (Microsoft Word): Ein bösartiges Dokument kann Schutzmechanismen gegen unsichere Inhalte aushebeln.

Zwei weitere ausgenutzte Lecks ermöglichen es Angreifern, ihre Berechtigungen bis auf SYSTEM-Ebene zu eskalieren:

• CVE-2026-21519 (Desktop Window Manager): Ein bereits authentifizierter Angreifer kann so vollständige Systemkontrolle erlangen.
• CVE-2026-21533 (Windows Remote Desktop Services): Ein Fehler in der Rechteverwaltung ermöglicht ebenfalls den Sprung auf SYSTEM-Rechte.

Die sechste aktive Schwachstelle führt zu Dienstverweigerung:
* CVE-2026-21525 (Windows Remote Access Connection Manager): Ein lokaler Angreifer kann den Dienst zum Absturz bringen und damit VPN-Verbindungen unterbrechen.

Breite Angriffsfläche: Von Azure bis zum Windows-Notepad

Neben den Zero-Days behebt das Update weitere kritische Lücken, darunter mehrere in der Azure-Cloud-Infrastruktur, speziell bei ACI Confidential Containers. Microsoft betont, dass einige Cloud-Schwachstellen bereits auf Infrastrukturebene behoben wurden und kein Handeln der Kunden erfordern.

Die Patches zeigen die vernetzte Verwundbarkeit der Microsoft-Welt: Betroffen sind Windows 10, Windows 11, Windows Server, Exchange Server und Visual Studio. Selbst die moderne Windows Notepad-App weist eine kritische Lücke (CVE-2026-20841) auf: Öffnet ein Nutzer eine bösartige Markdown-Datei und klickt auf einen präparierten Link, kann Remote-Code ausgeführt werden.

CISA setzt Frist: Patchen bis zum 3. März

Die US-Behörde CISA unterstreicht die Dringlichkeit durch die Aufnahme aller sechs Zero-Days in ihren verbindlichen Katalog. Für US-Bundesbehörden ist die Installation der Patches bis zum 3. März 2026 verpflichtend. Diese Maßnahme ist ein deutliches Signal an alle Unternehmen und Privatanwender: Die Updates müssen höchste Priorität haben.

Sicherheitsexperten raten dringend zur sofortigen Installation. Die Existenz mehrerer aktiv ausgenutzter Zero-Days bedeutet ein konkretes und unmittelbares Risiko. Angreifer reverse-engineern Patches oft schnell, um eigene Exploits zu entwickeln – es ist ein Wettlauf gegen die Zeit.

Aktuelle Angriffe zeigen, wie schnell Schwachstellen ausgenutzt werden – besonders über Phishing, präparierte Dateien und Social Engineering. Ein kostenloses E‑Book erklärt kompakt, welche Sofortmaßnahmen wirklich schützen, wie Sie Phishing- und Social‑Engineering‑Angriffe erkennen und welche organisatorischen Schritte Sie jetzt umsetzen sollten, auch ohne große IT-Budgets. Praxisnah und direkt umsetzbar für Unternehmen und Privatanwender. Jetzt kostenlosen Cyber‑Security‑Guide sichern

Die Updates werden primär über Windows Update bereitgestellt. Nutzer sollten automatische Updates aktivieren oder manuell nach dem Februar-2026-Release suchen. Der Patch für die Notepad-Schwachstelle kommt über den Microsoft Store; hier müssen Nutzer mit deaktivierten App-Updates manuell aktualisieren. Nur schnelles Handeln schützt vor den derzeit kursierenden Bedrohungen.