Microsoft NEWS und Patchday

Patch Day: Microsoft schließt sechs 0-Day-Lücken in Windows und Office

Beim Update-Dienstag im Februar hat Microsoft knapp 60 Schwachstellen beseitigt.
Dazu gehört auch eine Sicherheitslücke im Internet Explorer.
Sechs Lücken werden bereits für Angriffe ausgenutzt.

Bei seinem Patch Day am 10. Februar hat Microsoft Sicherheits-Updates gegen 58 neue Sicherheitslücken bereitgestellt - weit weniger als im Vormonat.
Neben Windows und Office sind auch Exchange Server, Internet Explorer, Azure und das Windows Subsystem für Linux (WSL) betroffen.
Sechs 0-Day-Lücken werden bereits für Angriffe ausgenutzt, drei davon gelten als vorab bekannt.
Fünf Schwachstellen stuft Microsoft als kritisch ein, die übrigen sind meist als hohes Risiko ausgewiesen.

Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates.
Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf - stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.



Browser-Updates
Das bislang neueste Sicherheits-Update auf Edge 144.0.3719.115 stammt vom 5. Februar und basiert auf Chromium 144.0.7559.133.
Es behebt zwei Chromium-Schwachstellen.
Google hat jedoch inzwischen Chrome und Chromium 145 freigegeben.
Ein entsprechendes Edge-Update dürfte Ende dieser Woche erscheinen.
Microsoft hat zudem eine Spoofing-Lücke (CVE-2026-0391) in Edge 143 für Android geschlossen.
Das war bereits im Dezember, wird aber erst jetzt öffentlich dokumentiert.

Office-Lücke wird ausgenutzt
In seiner Office-Familie hat Microsoft sechs Schwachstellen beseitigt, die alle als hohes Risiko eingestuft sind.
Darunter sind auf den ersten Blick keine RCE-Lücken (remote code execution).
Doch die als 0-Day-Lücke ausgewiesene Word-Schwachstelle CVE-2026-21514, als SFB-Lücke (Security Feature Bypass) eingeordnet, kann sich auch eignen, um Code einzuschleusen und auszuführen.
Zumindest ist hier das Vorschaufenster kein Angriffsvektor - ein Benutzer muss eine präparierte Office-Datei mit Word öffnen, um eine erfolgreiche Attacke zu ermöglichen.

Schwachstellen in Windows
Ein großer Anteil der Schwachstellen, diesmal 31, verteilt sich über die verschiedenen Windows-Versionen (10, 11, Server), für die Microsoft noch Sicherheits-Updates anbietet.
Windows 10 wird weiterhin ganz normal als betroffenes System genannt, obwohl die Unterstützung im Oktober offiziell ausgelaufen ist - das lief bei Windows 7 noch anders, trotz ESU-Programm (Erweiterte Sicherheits-Updates).

Windows unter Beschuss
Zwei Windows-Lücken sind bereits vorab öffentlich bekannt gewesen, was schon für eine Ausweisung als 0-Day-Lücke reichen würde, sie werden aber auch für Angriffe ausgenutzt.
In beiden Fällen handelt es sich um SFB-Lücken (Security Feature Bypass).
Die Schwachstelle CVE-2026-21510 in der Windows Shell ermöglicht es einem Angreifer, SmartScreen und Shell-Sicherheitsabfragen zu umgehen, um letztlich beliebigen Code auszuführen.
Ein Benutzer muss lediglich eine Verknüpfung öffnen und schon wird der Code ausgeführt.

Wer dachte, den alten Browser-Zombie Internet Explorer (IE) endlich los zu sein, sieht sich im Irrtum.
Der steckt noch immer in allen Windows-Versionen, denn etliche Programme sind auf bestimmte IE-Funktionen angewiesen.
Diese Altlasten werden mit der Zeit weniger, aber nur sehr langsam.
So können sich Angreifer die SFB-Lücke CVE-2026-21513 zunutze machen, wenn ihnen ein Anwender hilfreich zur Seite steht.

Die Sicherheitslücke CVE-2026-21519 im Desktop Window Manager ist bereits die zweite DWM-Schwachstelle in diesem Jahr, die bei Angriffen ausgenutzt wird.
Angreifer können sich höhere Rechte verschaffen und ihren Code mit System-Berechtigungen ausführen.
Dazu kombinieren sie die DMW-Lücke mit einer RCE-Schwachstelle – davon gibt es ja genug.

In der gleichen Preisklasse (CVSS 7.8) findet sich mit CVE-2026-21533 eine weitere EoP-Lücke (Elevation of Privilege ).
Sie steckt im Remote-Desktop-Dienst.
Anders als die betroffene Windows-Komponente vermuten lässt, wird dieser Fehler lokal ausgenutzt, um sich höhere Rechte zu verschaffen.
Wie bei der DWM-Lücke kann der Angreifer seinen Code im Erfolgsfall mit System-Berechtigungen ausführen.
Rechner, auf denen der anfällige Remote-Desktop-Dienst läuft, können ein interessantes Zwischenziel sein, um sich nach dem Eindringen in ein Netzwerk weiter seitwärts zu bewegen.

Die letzte 0-Day-Lücke in diesem Reigen ist CVE-2026-21525, eine DoS-Schwachstelle im Remote Access Verbindungsmanager.
Der Angreifer könnte den Dienst zum Absturz bringen.
Da erst einmal unklar ist, ab dieser dann automatisch neu startet, könnte sich der Angreifer eventuell einen Administrator vom Leibe halten, der aus der Ferne eingreifen will.
Auch ein Ablenkungsmanöver (Strategem 6) wäre denkbar.
Ansonsten finden DoS-Lücken in komplexeren Angriffsszenarien eher selten Verwendung.

Kritische Lücken in Cloud-Diensten
Bei diesem Patch Day finden sich keine als kritisch eingestuften Sicherheitslücken, die Desktop-Rechner oder Server im lokalen Netzwerk beträfen.
Die fünf von Microsoft als kritisch ausgewiesenen Schwachstellen betreffen alle Azure.
Drei der Lücken hat Microsoft bereits in seinem Cloud-Dienst beseitigt und dokumentiert sie nun.
Zwei Schwachstellen betreffen vertrauliche ACI-Container (Azure Container Instances) und erfordern Handlungen zu ihrer Absicherung.

Im Februar gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software.
Der nächste turnusmäßige Update-Dienstag ist am 10. März 2026.