Microsoft Office: Kritische Lücke CVE-2026-45659 gefährdet Millionen

Die indische Cybersicherheitsbehörde CERT-In warnte am Dienstag vor einer kritischen Schwachstelle, die Angreifern den Zugriff auf persönliche Daten ermöglicht.

Kritische Sicherheitslücke: CERT-In schlägt Alarm

Am 3. Juni 2026 stufte das indische Computer Emergency Response Team (CERT-In) eine Schwachstelle in Microsoft Office als hochriskant ein. Die als CVE-2026-45659 registrierte Lücke erlaubt Remote-Code-Ausführung, unbefugten Systemzugriff und potenziellen Datendiebstahl. Angreifer können manipulierte Dokumente nutzen, um an persönliche oder finanzielle Informationen zu gelangen – vorausgesetzt, das System ist nicht gepatcht.

Die aktuellen Sicherheitslücken in Microsoft-Anwendungen zeigen, wie wichtig ein proaktiver Schutz vor Cyberangriffen für Unternehmen heute ist. In diesem kostenlosen E-Book erfahren Sie, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen an die IT-Sicherheit erfüllen. IT-Sicherheit stärken ohne teure Investitionen

Microsoft hat zwar bereits einen Fix bereitgestellt. Doch CERT-In und andere Sicherheitsexperten raten dringend, den Update-Status manuell zu prüfen – etwa über den Account-Bereich in Word. Ähnliche Sicherheitsbedenken gab es zuletzt auch bei Microsoft 365 Copilot.

Erst im Mai 2026 hatten Forscher der Firma Enclave eine weitere Gefahr entdeckt: Mehrere Microsoft-365-Apps für Android – darunter Word, Excel und PowerPoint – enthielten ein Debug-Flag im Produktionscode. Dieses umging Schutzmechanismen, die Token-Transfers an nicht vertrauenswürdige Apps blockieren. E-Mails und Dateien waren potenziell exponiert. Microsoft schloss die Lücken (CVE-2026-41100, CVE-2026-41101, CVE-2026-41102) am 12. Mai 2026.

Globale Ausfälle: OneDrive, Teams und Exchange betroffen

Die technischen Probleme reißen nicht ab. Am 3. Juni 2026 kämpfte Microsoft mit einem weltweiten Ausfall, der Nutzer in Europa, Nordamerika und Asien traf. OneDrive, Excel Online und Teams waren zeitweise nicht erreichbar.

Ursache war ein fehlerhaftes Update im Microsoft Entra ID-Dienst (ehemals Azure Active Directory). Es führte zu Problemen mit Authentifizierungstokens für SharePoint Online und OneDrive for Business. Ein System-Rollback war nötig.

Angesichts der zunehmenden Bedrohungen durch KI und neue Cyberrisiken müssen Verantwortliche jetzt die rechtlichen Pflichten und technischen Schutzmaßnahmen für ihren Betrieb kennen. Dieser kostenlose Report klärt auf, wie Sie Ihr Unternehmen proaktiv absichern, bevor es zu spät ist. Gratis-Report: Cyber Security Bedrohungen abwenden

Einen Tag zuvor, am 2. Juni 2026, legte eine Störung bei Exchange Online die E-Mail-Zustellung lahm. Nutzer in Nordamerika, Europa und dem asiatisch-pazifischen Raum bekamen SMTP-Fehlermeldungen und abrupte Verbindungsabbrüche. Viele Nachrichten blieben über eine Stunde unzustellbar, während Techniker die Ursache suchten.

Schlussstrich für Office 2019 auf dem Mac

Ein einschneidendes Datum naht für Mac-Nutzer mit Office 2019: Ab dem 13. Juli 2026 schalten Word, Excel und PowerPoint in den „Modus mit reduzierter Funktionalität" um. Grund ist ein auslaufendes digitales Zertifikat, das Microsoft offenbar nicht erneuern wird.

Dokumente lassen sich dann zwar noch öffnen, anzeigen und drucken – aber nicht mehr erstellen, bearbeiten oder speichern. Der Support für Office 2019 endete bereits am 10. Oktober 2023. Der Zertifikatsablauf setzt nun den endgültigen Schlussstrich.

Wer weiterarbeiten will, muss auf ein Microsoft-365-Abonnement, den Kauf von Office 2024 oder die Web-Apps umsteigen. Nutzer von Office 2021 sind von dieser Änderung nicht betroffen – allerdings läuft auch dort der Support am 13. Oktober 2026 aus.

Infrastruktur-Risiken: Zertifikatsablauf bedroht Systemsicherheit

Ein weiteres Problem zeichnet sich ab: Das Microsoft KEK CA 2011-Zertifikat läuft am 27. Juni 2026 ab. Es ist für die Auslieferung von Secure-Boot-Sperrlisten über Windows Update verantwortlich. Sicherheitsanalysten warnen: Ohne Migration auf neuere Zertifikate bleiben Systeme unter Windows, Linux und in virtuellen Maschinen anfällig für Bootkit-Angriffe.

Bereits im Frühjahr 2026 hatten Forscher auf eine Abhängigkeitsverwechslung im Azure-Portal hingewiesen. Die im Januar 2026 entdeckte Schwachstelle betraf ein nicht beanspruchtes internes Paket, das Remote-Code-Ausführung in Microsofts Infrastruktur ermöglicht hätte. Der Fall wurde im März 2026 geschlossen – die GitHub Advisory Database bewertete das Paket jedoch mit kritischem Schweregrad.

de | wissenschaft | 69476685 |