Zero Day Schwachstelle – CVE-2026-21509 in Microsoft Office: Aktiv ausgenutzter Security-Feature-Bypass – Faktenlage, Updates und Mitigations
Für CVE-2026-21509 liegen belastbare Primärdaten aus dem NVD vor. Der Datensatz wurde am 26. Januar 2026 im NVD veröffentlicht, führt einen von Microsoft als CNA gemeldeten CVSS-3.1-Base-Score von 7.8 („High“) und ist im NVD als Eintrag in CISA’s Known-Exploited-Vulnerabilities-Katalog vermerkt, inklusive „Due Date“ 16. Februar 2026.
Was ist CVE-2026-21509 – und was ist daran sicher?
Der NVD beschreibt CVE-2026-21509 als „Security Feature Bypass“ in Microsoft Office, verursacht durch eine sicherheitsrelevante Entscheidung auf Basis nicht vertrauenswürdiger Eingaben. Der im NVD ausgewiesene CVSS-Vektor (CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) bedeutet in der Praxis: Die Ausnutzung erfordert Benutzerinteraktion (UI:R), benötigt keine Privilegien (PR:N) und kann bei Erfolg gravierende Auswirkungen haben (C/I/A jeweils „High“).
Wichtig für korrekte Sekundärberichterstattung ist, dass die öffentlich sichtbaren Primärtexte im NVD sowie im Microsoft-KB zu KB5002713 die konkret umgangene Office-Schutzfunktion nicht detailliert benennen. Wer technische Details zur Mechanik behauptet, sollte diese direkt gegen den Herstellerkanal im MSRC Update Guide verifizieren. (Der MSRC-Eintrag ist webbasiert und benötigt JavaScript.)
Exkurs: Was bedeutet CVSS – und warum ist der Score allein nicht genug?
CVSS (Common Vulnerability Scoring System) ist ein Standard, mit dem Schwachstellen nach ihrer technischen Ausnutzbarkeit und dem potenziellen Schaden bewertet werden. Der Base Score fasst Metriken wie Angriffsvektor (z. B. lokal oder über das Netzwerk), notwendige Komplexität, benötigte Privilegien und Benutzerinteraktion sowie die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit zusammen. Wichtig ist: CVSS beschreibt primär eine technische Momentaufnahme, nicht automatisch das reale Risiko in Ihrer Umgebung. Exploit-Verfügbarkeit, aktive Ausnutzung („in the wild“), vorhandene Mitigations, Exposure (z. B. E-Mail-Gateways, Makro-Policies) und Business-Kritikalität können den praktischen Handlungsdruck deutlich erhöhen oder senken – auch bei identischem CVSS-Wert.
Warum ist das dringend?
Der NVD führt CVE-2026-21509 als in CISA’s KEV-Katalog enthalten und gibt als „Required Action“ an, Mitigations nach Herstelleranweisung umzusetzen oder die Nutzung einzustellen, falls keine Mitigations verfügbar sind. Die dort genannte „Due Date“ ist im Rahmen von CISA BOD 22-01 insbesondere für US-FCEB-Behörden verbindlich; für andere Organisationen ist sie ein starkes Priorisierungssignal, aber nicht automatisch eine rechtliche Frist.
Updates und Betroffenheit: Was ist belegt, was muss im MSRC geprüft werden?
Die produktgenaue Betroffenheit sollte im MSRC Update Guide geprüft werden, weil der NVD dort hinverweist. Für konkrete Abhilfen ist jedoch bereits Folgendes durch Microsoft-Primärquellen sauber belegt.
Für MSI-basierte Installationen von Office 2016 existiert ein Security Update. Microsoft beschreibt in KB5002713, dass dieses Update eine „Microsoft Word security feature bypass vulnerability“ behebt und verweist explizit auf CVE-2026-21509. Microsoft stellt dort außerdem klar, dass der Download-Center-Fix für die Microsoft-Installer-(MSI)-Edition gilt und nicht für Office-Click-to-Run-Editionen.
Für volumenlizenzierte Office-2019-Installationen dokumentiert Microsoft im offiziellen Updateverlauf am 26. Januar 2026 „Version 1808 (Build 10417.20095)“ im Artikel „Updateverlauf für Office 2016 C2R und Office 2019“. Dieser Updateverlauf enthält keine CVE-Zuordnung; ob und wie dieser Build CVE-2026-21509 adressiert, muss deshalb über MSRC bzw. die Hersteller-Sicherheitsrelease-Notes verifiziert werden.
Zusatzkontext ist hier nicht optional, sondern entscheidungsrelevant: Microsoft weist im selben Updateverlauf ausdrücklich darauf hin, dass der Support für Office 2019 am 14. Oktober 2025 endete und Updates danach nur nach eigenem Ermessen erfolgen. In Umgebungen, die noch auf Office 2019 setzen, ist das ein Lifecycle- und Risiko-Thema, das in die Remediation-Planung gehört.
Temporäre Mitigation: Office-COM-Killbit nur kontrolliert einsetzen
Wenn ein Patch-Rollout kurzfristig nicht möglich ist, kann als Notbremse das Blockieren einzelner COM-Objekte per Office-COM-Killbit in Betracht kommen. Microsoft beschreibt Mechanik, Registry-Pfade und den relevanten Wert („Compatibility Flags“ = 0x00000400) in „Sicherheitseinstellungen für COM-Objekte in Office“. Das Killbit sollte nicht „auf Verdacht“ gesetzt werden, sondern nur dann, wenn der Hersteller oder eine belastbare interne Analyse eine konkrete CLSID als relevante Angriffsfläche benennt.
Fazit
CVE-2026-21509 ist ein von Microsoft als CNA bewerteter Security-Feature-Bypass in Office mit CVSS 7.8 (High) und einem klaren „Known Exploited“-Signal im NVD. Für Office 2016 (MSI) ist KB5002713 als CVE-bezogenes Security Update eindeutig belegt. Für Office 2019 ist ein neuer Build dokumentiert, aber eine CVE-Zuordnung ist im Updateverlauf selbst nicht enthalten; die belastbare Produkt- und Fix-Zuordnung muss deshalb gegen den MSRC-Eintrag geprüft werden.
