Microsoft hat sein erstes großes Sicherheitsupdate des Jahres veröffentlicht und dabei mehr als 100 Schwachstellen in Windows, Office und weiteren Kernkomponenten geschlossen. Besonders kritisch: Eine bereits aktiv ausgenutzte Zero-Day-Schwachstelle ist Teil des Updates.

Ungewöhnlich umfangreicher Patch Tuesday zum Jahresbeginn

Der aktuelle Patch Tuesday behebt zwischen 112 und 115 Sicherheitslücken in Produkten wie Windows 10, Windows 11, Windows Server und den Microsoft-365-Apps. Für den Jahresanfang ist eine hohe Anzahl an Korrekturen nicht unüblich, dennoch verdeutlicht der Umfang die anhaltend hohe Bedrohungslage.

Der Großteil der Schwachstellen betrifft Rechteausweitungen, gefolgt von Lücken für Remote Code Execution (RCE) und Informationsoffenlegung.

Aktiv ausgenutzte Zero-Day-Lücke in Windows (CVE-2026-20805)

Die aktuell gefährlichste Schwachstelle ist CVE-2026-20805, eine Lücke im Windows Desktop Window Manager (DWM). Microsoft bestätigt, dass diese Schwachstelle bereits aktiv ausgenutzt wird. Sie ist mit einem CVSS-Score von 5,5 (mittel) bewertet, spielt aber eine zentrale Rolle in Angriffsketten.

Durch die Ausnutzung kann ein lokaler Angreifer sensible Speicherinformationen auslesen und damit die Sicherheitsfunktion Address Space Layout Randomization (ASLR) umgehen. Aufgrund der aktiven Ausnutzung wurde CVE-2026-20805 in den Katalog der bekannt ausgenutzten Schwachstellen der US-Behörde CISA aufgenommen.

Kritische RCE-Schwachstellen in Office und Windows

Mehrere als kritisch eingestufte Schwachstellen ermöglichen Remote Code Execution und betreffen insbesondere Microsoft-Office-Anwendungen:

• CVE-2026-20944 – Microsoft Word (RCE)

• CVE-2026-20955 – Microsoft Excel (RCE)

• CVE-2026-20957 – Microsoft Excel (RCE)

Solche dokumentenbasierten Schwachstellen werden häufig über Phishing-E-Mails ausgenutzt und zählen zu den wichtigsten Einstiegspunkten für Schadsoftware.

Weitere kritische Korrekturen betreffen zentrale Windows-Komponenten, darunter:

• CVE-2026-20854 – Local Security Authority Subsystem Service (LSASS), potenzielle Rechteausweitung

• Mehrere Schwachstellen in der Windows-Grafikkomponente

• Sicherheitslücken in der virtualisierungsbasierten Sicherheit (VBS)

Weitere Zero-Day-Schwachstellen vorsorglich geschlossen

Zusätzlich wurden zwei weitere Zero-Day-Lücken proaktiv behoben:

• CVE-2023-31096 – Rechteausweitung über veraltete Agere-Soft-Modem-Treiber. Die betroffenen Treiber wurden vollständig aus Windows entfernt.

• CVE-2026-21265 – Umgehung von Windows Secure Boot im Zusammenhang mit ablaufenden Zertifikaten. Die Lücke könnte von privilegierten lokalen Angreifern missbraucht werden, um die Secure-Boot-Vertrauenskette zu stören.

Für beide Schwachstellen liegen bislang keine Hinweise auf aktive Angriffe vor.

Angriffsmuster werden komplexer

Die aktive Ausnutzung von CVE-2026-20805 zeigt exemplarisch, wie moderne Angriffe funktionieren: Statt einzelner extrem kritischer Lücken kombinieren Angreifer mehrere Schwachstellen mit niedrigerem oder mittlerem Schweregrad, um Sicherheitsmechanismen schrittweise auszuhebeln.

Der anhaltende Fokus auf Office-Komponenten verdeutlicht zudem, dass E-Mail-basierte Angriffe weiterhin ein zentrales Risiko für Unternehmen und Privatnutzer darstellen

Was jetzt zu tun ist

Die umgehende Installation der aktuellen Microsoft-Sicherheitsupdates ist dringend empfohlen. Da mindestens eine Schwachstelle bereits aktiv ausgenutzt wird, sollte das Zeitfenster für Angriffe schnellstmöglich geschlossen werden. In Unternehmensumgebungen sollten insbesondere Systeme mit sensiblen Daten sowie öffentlich erreichbare Server priorisiert aktualisiert werden.