Der Microsoft Patch Tuesday Februar 2026 schließt sechs Zero-Day-Schwachstellen, die Microsoft vor der Veröffentlichung der Updates als bereits ausgenutzt oder vorab öffentlich bekannt einstuft. Für IT- und Security-Teams ist das ein klares Signal für ein beschleunigtes Rollout, weil die betroffenen Bugklassen in Windows- und Office-Umgebungen oft genau die Schritte ermöglichen, die Angreifer für einen stabilen Zugriff benötigen.
Microsoft Patch Tuesday Februar 2026 im Überblick
Microsoft veröffentlicht im Patch-Tuesday-Rhythmus kumulative Updates, die Sicherheitslücken in Windows und angrenzenden Komponenten schließen. Im Februar 2026 fällt vor allem die Mischung der sechs Zero-Days auf. Drei Einträge sind Security-Feature-Bypässe, zwei sind Privilege-Escalation-Schwachstellen, und eine ist ein lokaler Denial-of-Service. Diese Kombination ist im Alltag relevant, weil Security-Feature-Bypässe häufig Schutzschichten in Nutzer-Workflows aushebeln, während Privilege Escalation typischerweise nach einem ersten Zugriff eingesetzt wird, um Rechte zu erhöhen und den Host vollständig zu kontrollieren.
Der entscheidende Punkt für die Priorisierung ist weniger, wie viele Fixes insgesamt in einem Monat enthalten sind, sondern welche Angriffsflächen in typischen Unternehmenspfaden liegen. Sobald Zero-Day-Fälle betroffen sind, sollte das Patchen in den normalen Change-Prozess integriert, aber zeitlich nach vorne gezogen werden. Das gilt besonders für Geräte und Rollen, auf denen Benutzerinhalte verarbeitet werden oder auf denen privilegierte Sessions stattfinden.
und die 6 Zero-Day-CVEs
Die sechs Zero-Day-CVEs aus dem Februar-Release betreffen mehrere zentrale Bereiche. Im Überblick sind das Windows Shell, das MSHTML-Framework, Microsoft Word, der Desktop Window Manager, Windows Remote Desktop Services sowie der Remote Access Connection Manager. In vielen Umgebungen ist mindestens einer dieser Bereiche stark exponiert, entweder durch Benutzerinteraktion, durch Remote-Workflows oder durch administrative Betriebsmodelle.
- CVE-2026-21510, Windows Shell, Security Feature Bypass
- CVE-2026-21513, MSHTML Framework, Security Feature Bypass
- CVE-2026-21514, Microsoft Word, Security Feature Bypass
- CVE-2026-21519, Desktop Window Manager, Elevation of Privilege
- CVE-2026-21533, Windows Remote Desktop Services, Elevation of Privilege
- CVE-2026-21525, Windows Remote Access Connection Manager, Denial of Service
Wichtig für die Einordnung ist die praktische Wirkung der Kategorien. Ein Security-Feature-Bypass reduziert die Wirksamkeit bestehender Schutzmechanismen, die in alltäglichen Abläufen als Sicherheitsgurt dienen. Eine Privilege-Escalation-Lücke ist oft der Schritt, mit dem Angreifer nach initialem Zugriff die Kontrolle ausweiten. Ein lokaler Denial-of-Service kann die Verfügbarkeit beeinträchtigen und in Einzelfällen als Stör- oder Ablenkungsmechanismus wirken, etwa wenn stabile Remote-Access-Funktionen benötigt werden.
Microsoft Patch Tuesday Februar 2026 und Security-Feature-Bypässe in Windows und Office
Die drei Security-Feature-Bypässe betreffen Komponenten, die in vielen Umgebungen eng mit Nutzerinteraktion verbunden sind. CVE-2026-21510 in der Windows Shell ist in der Praxis besonders dort relevant, wo Benutzer häufig mit Dateien, Links und Verknüpfungen arbeiten. CVE-2026-21513 im MSHTML-Framework betrifft einen Bereich, der in bestimmten Rendering- oder Kompatibilitätskontexten weiterhin eine Rolle spielt. CVE-2026-21514 in Microsoft Word betrifft eine Angriffsfläche, die in Unternehmen ständig vorhanden ist, weil Office-Dokumente in E-Mail, Collaboration und Fileshares alltäglich sind.
Bei CVE-2026-21514 ist die Risikoklasse klar als Umgehung einer Sicherheitsentscheidung beschrieben, was für typische Office-Angriffe relevant ist, bei denen die Wirksamkeit von Schutzmechanismen in Dokument-Workflows entscheidend ist.
Microsoft Patch Tuesday Februar 2026 und Privilege Escalation in Windows
Privilege-Escalation-Schwachstellen sind selten der erste Einstieg, aber sie sind ein starker Multiplikator, sobald ein Angreifer bereits Codeausführung im Benutzerkontext erreicht hat. CVE-2026-21519 im Desktop Window Manager ist ein typisches Beispiel, weil ein erfolgreicher Sprung zu höheren Rechten die Möglichkeiten für Persistenz, Credential Access und laterale Bewegung stark erweitert. In Umgebungen mit homogener Client-Flotte oder in VDI-Pools kann ein einzelner funktionierender Eskalationspfad zu schnellen, großflächigen Auswirkungen führen.
Die technische Einordnung von CVE-2026-21519 inklusive der von Behörden geführten Verknüpfung zu bekannten Ausnutzungsindikatoren findet sich in der NVD-Seite zu CVE-2026-21519. Für Security-Teams bedeutet das, dass Systeme mit hoher Privilegienkonzentration und hoher Session-Dichte besonders früh in die Patch-Welle gehören.
und RasMan DoS in Remote-Access-Umgebungen
CVE-2026-21525 betrifft den Windows Remote Access Connection Manager (RasMan). Das ist kein Remote-Desktop-Session-Manager, sondern der Dienst für Remote-Access-Verbindungen wie Einwahl und VPN. Wer die Rolle des Dienstes in Windows und sicherheitsrelevante Betriebsüberlegungen nachvollziehen will, findet die Dienstbeschreibung in den Windows-Services-Sicherheitsrichtlinien zu Remote Access Connection Manager auf Microsoft Learn. In der Praxis ist der DoS-Fall vor allem dort relevant, wo Remote-Access-Funktionalität geschäftskritisch ist oder wo Stabilität in Remote-Workflows eng mit Verfügbarkeit von IT-Services verknüpft ist.
Microsoft Patch Tuesday Februar 2026 richtig priorisieren
Für ein effektives Rollout empfiehlt sich eine priorisierte Wellenstrategie, die Exposure und Blast Radius kombiniert. In die erste Welle gehören Systeme, bei denen ein erfolgreicher Angriff besonders hohe Auswirkungen hätte oder bei denen Angriffsflächen besonders häufig genutzt werden. Dazu zählen administrative Arbeitsplätze, Jump Hosts, gemeinsam genutzte Systeme, VDI-Pools sowie Remote-Desktop-Hosts und Terminalserver. Ebenfalls hoch priorisiert sind Endpoints, auf denen intensiv Office-Dokumente verarbeitet werden und die regelmäßig externe Inhalte erhalten.
In die zweite Welle fallen Standard-Clients und Server ohne besondere Exponiertheit, sofern sie nicht für privilegierte Aufgaben genutzt werden. Systeme mit engem Change-Fenster sollten nicht verschoben werden, ohne die Zeit bis zum Patch mit zusätzlichen Kontrollen zu überbrücken. Dazu gehören restriktivere Regeln für riskante Dateitypen, eine reduzierte Angriffsfläche in Office-Workflows, stärkere Härtung von privilegierten Konten und eine engere Überwachung von Prozessketten, die typisch für initiale Ausführung und anschließende Rechteausweitung sind.
Fazit
Der Microsoft Patch Tuesday Februar 2026 ist wegen der sechs Zero-Day-CVEs ein Release mit hoher Dringlichkeit. Die betroffenen Kategorien passen zu typischen Angriffspfaden in Unternehmensnetzen, von der Umgehung von Schutzmechanismen in Nutzer-Workflows bis zur lokalen Rechteausweitung. Wer die Patch-Wellen auf die exponiertesten Rollen konzentriert und die Compliance dort zuerst schließt, reduziert das Risiko am schnellsten und mit dem höchsten Effekt.
