Ein Patch-Tuesday-Bug, der es in sich hat
Microsofts Patch Tuesday im März 2026 brachte Fixes für rund 84 Schwachstellen – darunter zwei öffentlich bekannte Zero-Days. Doch eine CVE sticht heraus, nicht wegen ihres CVSS-Scores von 7,5, sondern wegen ihres Angriffspfads: CVE-2026-26144 betrifft Microsoft Excel und verwandelt den KI-Assistenten Copilot Agent in einen unfreiwilligen Datendieb. Ohne einen einzigen Klick des Nutzers.
Was zunächst wie eine gewöhnliche Cross-Site-Scripting-Schwachstelle klingt, entpuppt sich bei genauerer Betrachtung als Blaupause für eine völlig neue Angriffsklasse – eine, die Künstliche Intelligenz im Unternehmenseinsatz grundlegend in Frage stellt.
Wie der Angriff funktioniert
Der Mechanismus hinter CVE-2026-26144 ist ebenso elegant wie beunruhigend. Die Schwachstelle liegt in der unzureichenden Bereinigung von Nutzereingaben bei der Webseitengeneration innerhalb von Excel. Konkret bedeutet das: Ein Angreifer kann in einer Excel-Datei manipulierte Inhalte einbetten – HTML-Fragmente oder Script-Elemente, die Excel beim Rendern nicht korrekt neutralisiert.
Der eigentliche Clou liegt jedoch nicht in der XSS-Lücke selbst, sondern in dem, was sie auslöst: Die manipulierten Inhalte können Copilot Agent dazu bringen, Netzwerkanfragen an einen vom Angreifer kontrollierten Server zu senden. Copilot Agent liest, analysiert und verarbeitet Dokumentinhalte automatisch – und genau diese Automatisierung wird hier zum Angriffsvektor.
Besonders kritisch: Die Exfiltration kann bereits beim Anzeigen in der Vorschauansicht ausgelöst werden. Der Nutzer muss die Datei nicht einmal öffnen. Ein Blick in den Vorschaubereich des Explorers oder in Outlook genügt, damit der Angriff greift.
Was exfiltriert werden kann
Excel-Dateien in Unternehmensumgebungen enthalten selten nur harmlose Tabellen. Zu den potenziell gefährdeten Daten gehören:
Finanzinformationen wie Quartalsberichte, Budgetplanungen, Umsatzzahlen und Investitionsentscheidungen. Strategische Daten wie Preiskalkulationen, Kundenlisten und Vertriebspipelines. Personaldaten wie Gehaltslisten, Leistungsbewertungen und Personalplanungen. Und nicht zuletzt technische Informationen wie Infrastruktur-Dokumentationen, die häufig in Tabellenform gepflegt werden.
In vielen Organisationen ist Excel nach wie vor das zentrale Werkzeug für genau solche sensiblen Daten – und damit ein lohnendes Ziel für Angreifer.
Warum diese Schwachstelle anders ist
CVE-2026-26144 wäre als einfache XSS-Lücke ein Routine-Patch. Was sie von hunderten ähnlichen Schwachstellen abhebt, ist die Rolle von Copilot Agent. Microsofts KI-Assistent wurde entwickelt, um Dokumente eigenständig zu lesen, zusammenzufassen und darauf zu reagieren – also genau die Fähigkeiten, die ein Angreifer hier missbraucht.
Das Problem liegt in der Architektur: Copilot Agent erhält breite Berechtigungen für Dateizugriff und Netzwerkkommunikation, kann aber nicht zuverlässig zwischen legitimen Anweisungen und eingeschleustem Schadcode unterscheiden. Sicherheitsforscher sprechen von einer „Intent Collision" – einer Kollision zwischen der beabsichtigten Nutzerinteraktion und versteckten bösartigen Instruktionen.
Und CVE-2026-26144 ist kein Einzelfall. In den letzten Wochen wurden mehrere ähnliche Schwachstellen bekannt, darunter CVE-2026-0628 (GlicJack), die über Browser-Erweiterungen Googles Gemini kompromittiert, und CVE-2026-24307 (Reprompt), die Session-Hijacking bei Microsoft Copilot ermöglicht. Es zeichnet sich ein Muster ab: KI-Agenten in Unternehmenssoftware sind die nächste große Angriffsfläche.
Sofortmaßnahmen für IT-Teams
Die gute Nachricht: Microsoft hat den Patch am 10. März bereitgestellt. Die schlechte Nachricht: Viele Unternehmen haben ihn noch nicht eingespielt. Folgende Maßnahmen sollten Sie jetzt umsetzen:
1. Patch einspielen – sofort
Das März-2026-Update für Microsoft Office behebt CVE-2026-26144 vollständig. Wenn Ihr Patch-Management-Prozess noch nicht abgeschlossen ist, priorisieren Sie diesen Fix. Insbesondere Unternehmen, die Copilot Agent nutzen, sollten hier keine Woche mehr warten.
2. Ausgehenden Netzwerkverkehr von Office-Anwendungen einschränken
Konfigurieren Sie Ihre Firewall- und Proxy-Regeln so, dass Excel, Word und andere Office-Prozesse nur mit bekannten, vertrauenswürdigen Endpunkten kommunizieren dürfen. Jede unerwartete ausgehende Verbindung eines Office-Prozesses sollte einen Alert auslösen.
3. Copilot-Agent-Funktionen überprüfen
Prüfen Sie, ob und wie Copilot Agent in Ihrer Organisation konfiguriert ist. Falls Sie die autonomen Funktionen nicht aktiv nutzen, deaktivieren Sie den Agent-Modus über die Tenant-Administration vorübergehend, bis der Patch flächendeckend ausgerollt ist.
4. Monitoring für anomales Verhalten einrichten
Implementieren Sie Endpoint-Monitoring, das ungewöhnliche Netzwerkaktivitäten von Excel-Prozessen erkennt. Achten Sie besonders auf HTTP-Requests an unbekannte externe Domains, die aus Office-Kontexten heraus initiiert werden.
5. E-Mail-Filterung verschärfen
Da der häufigste Angriffsvektor manipulierte Excel-Dateien per E-Mail sein dürfte, sollten Sie Ihre E-Mail-Security-Lösung auf Inhaltsanalyse von Office-Dokumenten prüfen. Verdächtige eingebettete Elemente in Tabellenkalkulationen sollten blockiert oder zumindest markiert werden.
Die größere Frage: Ist Ihr KI-Stack sicher?
CVE-2026-26144 ist ein Weckruf. KI-Assistenten werden in immer mehr Unternehmensprozesse integriert – von der Dokumentenverarbeitung über die Code-Generierung bis hin zur Kundeninteraktion. Doch die Informationssicherheit dieser Systeme hinkt der Geschwindigkeit ihrer Einführung deutlich hinterher.
Branchenzahlen verdeutlichen das Dilemma: 83 Prozent der Organisationen planen den Einsatz agentischer KI, doch nur 29 Prozent fühlen sich bereit, diese Systeme adäquat abzusichern. Diese Diskrepanz zwischen Adoption und Absicherung wird in den kommenden Monaten zu weiteren Vorfällen führen.
Unternehmen, die KI-Tools in ihrer Infrastruktur einsetzen, sollten jetzt eine systematische Risikobewertung durchführen: Welche KI-Agenten haben Zugriff auf welche Daten? Welche autonomen Aktionen können sie ausführen? Und welche Kontrollmechanismen existieren, falls ein Agent kompromittiert wird?
Wenn Sie Unterstützung bei der Bewertung Ihrer KI-Sicherheitsarchitektur benötigen, sprechen Sie mit uns. Das pleXtec-Team unterstützt Sie bei der sicheren Integration von KI in Ihre Unternehmensprozesse – von der KI-Strategie bis zur technischen Absicherung.
Fazit
CVE-2026-26144 ist mehr als ein weiterer Eintrag in der monatlichen Patch-Liste. Sie zeigt exemplarisch, wie die Integration von KI-Agenten in etablierte Software neue, bisher unbekannte Angriffsvektoren schafft. Die Kombination aus einer klassischen XSS-Schwachstelle und den autonomen Fähigkeiten von Copilot Agent ergibt eine Bedrohung, die weit über das hinausgeht, was traditionelle Sicherheitsmodelle abfangen können. Patchen Sie jetzt – und denken Sie darüber nach, wie Ihre Organisation mit den Sicherheitsimplikationen agentischer KI umgeht.
