Klick auf die Vorschau reicht aus: CVE-2026-26110 und CVE-2026-26113 machen Microsoft Office zur Angriffsbühne

Es gibt Schwachstellen, bei denen man nicht einmal eine Datei öffnen muss. Ein Klick auf den Vorschaubereich reicht aus – und schon kann Schadcode auf dem betroffenen System ausgeführt werden. Genau das ermöglichen CVE-2026-26110 und CVE-2026-26113, zwei kritische Remote-Code-Execution-Schwachstellen in Microsoft Office, die Microsoft am 11. März 2026 mit dem monatlichen Patch-Dienstag geschlossen hat. Was besonders alarmierend ist: Beide Lücken werden nach Microsofts eigenen Angaben bereits in begrenzten, gezielten Angriffen aktiv ausgenutzt. In der Sicherheitsbranche ist diese Formulierung ein eindeutiges Signal – sie deutet in aller Regel auf staatlich unterstützte Bedrohungsakteure hin.

Der Vorschaubereich als Einfallstor

Wer kennt es nicht: Eine E-Mail kommt an, im Anhang ein Word-Dokument oder eine Excel-Datei. Man klickt kurz auf den Anhang, um ihn im Outlook-Vorschaubereich oder im Windows-Explorer zu sichten – noch ehe man entschieden hat, ob man die Datei überhaupt öffnen möchte. Was wie eine harmlose Geste wirkt, kann unter den aktuellen Umständen fatale Folgen haben.

Genau dieser Preview Pane – die Vorschaufunktion, die in Outlook, dem Windows Explorer und innerhalb der Office-Suite selbst verfügbar ist – ist der Angriffsvektor, über den CVE-2026-26110 und CVE-2026-26113 ausgenutzt werden können. Die vollständige Interaktion mit dem Dokument ist für eine Kompromittierung nicht erforderlich. Das macht beide Schwachstellen zu einer der kritischsten Bedrohungen für Unternehmensumgebungen in diesem Quartal.

Technische Details: Was steckt hinter den beiden CVEs?

Beide Schwachstellen betreffen den Datei-Parser von Microsoft Office und weisen einen CVSS-Basiswert von jeweils 8,4 auf. Sie wurden als Teil des März-2026-Patchdays veröffentlicht und betreffen eine breite Palette an Office-Anwendungen, darunter Word, Excel, PowerPoint und – besonders relevant für Unternehmensumgebungen – Microsoft Outlook.

CVE-2026-26110 ist eine sogenannte Untrusted Pointer Dereference-Schwachstelle. Beim Parsen einer speziell präparierten Datei im Vorschaubereich verarbeitet der Office-Parser unkontrolliert einen vom Angreifer gesteuerten Speicherzeigerber. Das Ergebnis: Der Programmfluss wird auf eine vom Angreifer gewählte Speicheradresse umgeleitet, wo beliebiger Code ausgeführt werden kann. Technisch ist dieser Exploit anspruchsvoll – aber für staatlich gesponserte APT-Gruppen mit ausreichenden Ressourcen durchaus realisierbar.

CVE-2026-26113 basiert auf einer Type Confusion-Schwachstelle. Die betroffene Office-Komponente behandelt beim Rendern der Dateivorschau ein internes Objekt als falschen Datentyp. Dieser Denkfehler in der Typisierung führt dazu, dass Speicherbereiche jenseits der vorgesehenen Grenzen manipuliert werden können. Das Ergebnis ist dasselbe: Die Ausführung von beliebigem Code mit den Rechten des aktuell angemeldeten Benutzers.

Beide Schwachstellen teilen eine entscheidende, beunruhigende Eigenschaft: Sie sind im Windows-Sicherheitsmodell als lokal ausführbar, aber remote auslieferbar eingestuft. Das heißt: Ein Angreifer muss keine direkte Verbindung zum Zielsystem haben. Er verschickt eine präparierte Datei per E-Mail oder stellt sie über einen Link bereit. Das Opfer löst den Exploit unwissentlich selbst aus – allein durch das Öffnen des Vorschaubereichs.

Betroffene Produkte

Die Schwachstellen betreffen nach aktuellem Stand eine breite Palette an Office-Produkten und -Versionen:

• Microsoft Word (alle aktuellen Channel-Versionen im Microsoft-365-Abonnement sowie Office 2019/2021)
• Microsoft Excel
• Microsoft PowerPoint
• Microsoft Outlook (als Host des Preview Panes besonders exponiert)

Betroffen sind sowohl MSI-basierte Offline-Installationen als auch Microsoft-365-Abonnements. Da der Vorschaubereich in Outlook standardmäßig aktiviert ist und in vielen Organisationen täglich intensiv genutzt wird, ist die Angriffsfläche in typischen Unternehmensumgebungen als hoch einzustufen. Auch SharePoint-Umgebungen, die Office-Komponenten für die Dateivorschau nutzen, sollten auf ihren Patch-Stand geprüft werden.

Wie ein realer Angriff aussehen könnte

Stellen Sie sich folgendes Szenario vor: Ein Mitarbeiter in der Buchhaltung erhält eine täuschend echt wirkende E-Mail. Der Absender scheint ein bekannter Lieferant zu sein – das Unternehmenslogo stimmt, der Schreibstil passt. Im Anhang befindet sich eine Datei namens Rechnung_2026-03-Marz.docx. Der Mitarbeiter klickt kurz auf die Datei, um im Outlook-Vorschaubereich zu prüfen, ob es sich um eine reguläre Rechnung handelt.

In diesem Moment löst die präparierte Datei über CVE-2026-26110 die Schwachstelle im Parser aus. Eine Reverse Shell verbindet sich lautlos mit einem Command-and-Control-Server der Angreifer. Ab diesem Zeitpunkt haben die Angreifer vollen Zugriff auf den Rechner des Mitarbeiters – mit all seinen Netzwerklaufwerken, Zugangsdaten und internen Systemen. Das alles geschieht ohne Fehlermeldung, ohne sichtbares Anzeichen, ohne dass der Nutzer die Datei jemals geöffnet oder ein Makro aktiviert hätte.

Für Organisationen mit vielen E-Mail-Nutzern, ohne konsequentes Patch-Management und ohne moderne Endpoint-Sicherheit ist dieses Szenario kein hypothetisches Risiko – es ist ein realistisches Angriffsbild, das bereits in freier Wildbahn beobachtet wird.

Einordnung in den März-2026-Patchday

Der März-Patch-Tuesday 2026 war ein überdurchschnittlich umfangreicher: Microsoft schloss insgesamt 83 CVEs, darunter acht als kritisch eingestufte Schwachstellen. Die Bandbreite reichte von Elevation-of-Privilege-Bugs bis hin zu Denial-of-Service-Schwachstellen in .NET. Neben CVE-2026-26110 und CVE-2026-26113 enthielt dieser Patchday auch zwei Zero-Days, deren Exploit-Details bereits öffentlich verfügbar sind:

• CVE-2026-21262 (SQL Server Elevation of Privilege) – Exploit-Code im Umlauf
• CVE-2026-26127 (.NET Denial of Service) – technische Details veröffentlicht

Die Kombination aus aktiv ausgenutzten Schwachstellen und öffentlich verfügbaren Exploit-Details verkürzt das sichere Patching-Fenster erheblich. Sicherheitsteams, die noch nicht alle März-Updates eingespielt haben, befinden sich in einem immer risikoreicheren Zustand – jeden Tag ohne Patches erhöht sich die Wahrscheinlichkeit einer Kompromittierung.

Warum dieser Angriff besonders gefährlich für den Mittelstand ist

Große Konzerne verfügen typischerweise über dedizierte Security-Teams, automatisierte Patch-Deployment-Prozesse und Vulnerability-Management-Plattformen, die neue CVEs binnen 24 bis 48 Stunden in den Patch-Workflow integrieren. Im deutschen Mittelstand sieht die Realität häufig anders aus: IT-Abteilungen mit wenigen Köpfen, manuelle Update-Prozesse, Wartungsfenster, die nur alle paar Wochen eingeplant werden.

Dabei sind mittelständische Unternehmen keineswegs weniger attraktive Ziele. Im Gegenteil: Sie sind Teil von Lieferketten, verwalten sensible Konstruktionsdaten, Kundendaten und Finanzdaten – und haben oft direkten Zugang zu Partnersystemen größerer Konzerne. Wer den Mittelstand kompromittiert, hält häufig eine Tür zu bedeutend größeren Zielen in der Hand. Genau deshalb ist konsequentes Schwachstellenmanagement keine Frage der Unternehmensgröße, sondern der unternehmerischen Sorgfalt.

Handlungsempfehlungen: Was jetzt zu tun ist

1. Sofort patchen. Überprüfen Sie auf allen Windows-Endpunkten und Office-Installationen, ob die März-2026-Sicherheitsupdates vollständig eingespielt sind. Nutzen Sie dazu Windows Update, Microsoft Update oder Ihr zentrales Patch-Management-System (WSUS, Intune, SCCM). Eine unvollständige Deployment-Rate – zum Beispiel Außendienstmitarbeiter, die selten im Büro sind – reicht aus, um die Angriffsfläche offenzuhalten.

2. Preview Pane als Sofortmaßnahme deaktivieren. Bis zur vollständigen Patch-Ausrollung in Ihrer Organisation können Sie den Vorschaubereich in Outlook als Übergangslösung deaktivieren: Ansicht → Lesebereich → Aus. Im Windows Explorer deaktivieren Sie die Vorschau über Ansicht → Vorschaubereich. Diese Maßnahme reduziert die Angriffsfläche unmittelbar, schränkt aber den Komfort ein.

3. E-Mail-Gateway-Schutz überprüfen. Stellen Sie sicher, dass Ihre E-Mail-Sicherheitslösung eingehende Office-Dateien aktiv analysiert oder in einer Sandbox detoniert. Moderne Gateway-Lösungen können manipulierte Dokumente erkennen, bevor sie den Endpunkt erreichen. Prüfen Sie, ob Ihre Lösung aktuelle Signaturen für diese CVEs bereitstellt.

4. EDR-Lösungen auf dem aktuellen Stand halten. Endpoint Detection and Response (EDR)-Systeme können verdächtige Prozessaufrufe aus Office-Anwendungen heraus erkennen – zum Beispiel, wenn Word plötzlich eine PowerShell-Instanz startet oder eine Netzwerkverbindung aufbaut. Überprüfen Sie, ob Ihr EDR diese Verhaltensweise aktiv monitort und blockiert.

5. Mitarbeiter sensibilisieren. Auch wenn diese Schwachstellen technisch ohne Nutzerinteraktion ausnutzbar sind, gilt: Ein gesundes Misstrauen gegenüber unerwarteten Dateianhängen bleibt ein wirksamer Schutzwall. Informieren Sie Ihre Mitarbeiter darüber, dass sie bei unerwarteten Anhängen – selbst von scheinbar bekannten Absendern – besondere Vorsicht walten lassen sollen.

Wer sein Schwachstellenmanagement strukturiert aufstellen oder professionell prüfen lassen möchte, findet bei pleXtec erfahrene Unterstützung. Ein strukturierter Ansatz zu IT-Sicherheitsleistungen sorgt dafür, dass kritische Patches zukünftig schneller und vollständiger ausgerollt werden – bevor Angreifer die verbleibende Lücke nutzen können.