Der Mai-Patch-Day von Microsoft hat eine Konstellation hinterlassen, die jeden Office-Administrator im deutschen Mittelstand aus dem Schreibtischsessel reissen sollte: Vier Remote-Code-Execution-Luecken in Microsoft Word, alle mit einem CVSS-Basisscore von 8.4 und allesamt von Microsoft als kritisch eingestuft. Zwei davon – CVE-2026-40361 und CVE-2026-40364 – stuft der Hersteller als "more likely to be exploited" ein. Und ein dritter, CVE-2026-40366, hat eine Eigenschaft, die in normalen Patch-Cycles eigentlich Alarm ausloesen sollte: Er ist ueber das Vorschaufenster im Windows Explorer ausnutzbar. Kein Klick. Keine Bestaetigung. Kein Makro. Allein das Markieren einer DOCX-Datei reicht aus, damit der Schadcode in Ihrem Word-Prozess explodiert.

Die vier Word-RCEs im Detail

Microsoft hat im Mai-Patch-Day insgesamt 137 CVEs geschlossen, davon 30 als kritisch eingestuft. Vier davon betreffen Microsoft Word – und sie verdienen jede einzelne Minute Aufmerksamkeit:

CVE-2026-40366 (CVSS 8.4) – Use-after-free ueber Preview Pane

Die Luecke entsteht durch einen Use-after-free-Speicherfehler in Words Verarbeitung von speziell praeparierten DOCX-Dateien. Die Schwachstelle sitzt mit hoher Wahrscheinlichkeit im Renderer fuer komplexe Dokumentstrukturen – etwa in der Behandlung von OLE-Objekten, eingebetteten Schriftarten oder Bildern. Wenn der Preview-Renderer ein Objekt freigibt und anschliessend unsauber darauf zurueckgreift, kann ein Angreifer ueber praeparierte Daten Funktionszeiger oder Rueckkehradressen auf dem Stack ueberschreiben. Damit landet der Angreifer im Kontext des angemeldeten Nutzers – mit allen Zugriffsrechten auf das Dateisystem, das Active Directory und alle Netzwerkfreigaben.

Der entscheidende Punkt: Es genuegt, dass die Datei im Vorschaufenster des Windows Explorer angezeigt wird. Der Empfaenger oeffnet die DOCX nicht. Er klickt sie nicht doppelt an. Er markiert sie schlicht – und Word startet den Preview-Renderer im Hintergrund, weil der Explorer den passenden Handler aufruft. In diesem Moment hat der Angreifer gewonnen.

CVE-2026-40367 (CVSS 8.4) – RCE ueber Outlook-Vorschau

CVE-2026-40367 trifft Word ueber einen anderen Vektor: die Outlook-Vorschaupane. Die Ursache liegt in einer fehlerhaften Behandlung eingebetteter Objekte in DOCX-Dateien, mutmasslich in einer gemeinsam genutzten Komponente – wahrscheinlich der MSO.dll oder einem Grafik-Filter, der von Word, Outlook, Excel und anderen Office-Anwendungen beim Rendern von Vorschauen und eingebetteten Inhalten verwendet wird. Ein Angreifer kann ein Dokument mit einem fehlerhaften OLE-Objekt oder einer korrupten Grafikkette praeparieren, die beim Parsen den Speicher so beschaedigt, dass Code mit den Rechten des aktuellen Benutzers ausgefuehrt wird.

Microsoft hat dafuer eigene Update-Pakete veroeffentlicht: ein Word-2016/Office-2016-Security-Update (KB5026265) fuer den primaeren Angriffsweg in der Word-Datei-Parser-Logik, ein Office-2016-Common-Component-Update (KB5002468) fuer die zugrundeliegende Bibliothek sowie ein Outlook-2016-Security-Update (KB5026268) speziell fuer die Preview-Pane-Vektor. Wer nur eines dieser Pakete ausrollt, bleibt verwundbar.

CVE-2026-40361 und CVE-2026-40364 – "More likely to be exploited"

Diese beiden Luecken stuft Microsoft selbst als wahrscheinlich ausgenutzt ein – und das ist im Microsoft-Vokabular kein leichtfertiger Hinweis. Bei beiden handelt es sich um Speicherkorruptions-Bugs, die ueber praeparierte Word-Dokumente getriggert werden. CVE-2026-40361 wird ebenfalls ueber die Outlook-Preview-Pane aktiv. Damit summieren sich die Angriffswege gegen den Mittelstand auf einen einzigen, alltaeglichen Reflex: E-Mail mit Anhang erhalten, in der Inbox markieren, Vorschau erscheint.

Warum diese Luecken den Mittelstand besonders treffen

In typischen Mittelstands-IT-Landschaften ist Outlook 2016/2019/365 die Drehscheibe fuer jede externe Kommunikation. Lieferantenrechnungen, Angebote, Bewerbungen, Vertraege – fast jede DOCX-Datei kommt per Mail. Und in den meisten Organisationen ist die Outlook-Vorschaupane aus Bequemlichkeit aktiviert. Sie ist seit Jahrzehnten Bestandteil der Standardkonfiguration. Genau diese Bequemlichkeit ist 2026 zur Eintrittstuer fuer Ransomware-Affiliates geworden.

Hinzu kommt: Der typische Angriff laeuft nicht ueber gezielten Spear-Phishing, sondern ueber breit gestreute Kampagnen. Die Angreifer brauchen keine individuell zugeschnittene Bewerbung mehr – sie schicken eine "Rechnung", eine "Mahnung" oder eine "Ausschreibung" an einkauf@, info@, buchhaltung@. Sobald nur ein einziger Mitarbeiter die Mail in der Inbox sichtet, ist der Initial Access etabliert. Von dort zur Lateral Movement im Netz und zur Verschluesselung der Fileserver ist es in modernen Ransomware-Operationen oft nur eine Frage von Stunden.

Sofortmassnahmen fuer IT-Verantwortliche

Die Empfehlung von pleXtec an alle Kunden lautet klar: Patchen Sie diese Woche, nicht im naechsten Wartungsfenster. Folgende Schritte sind dabei zwingend:

1. Vollstaendiges Update-Set ausrollen

Verlassen Sie sich nicht auf den automatischen Office-Updater. Pruefen Sie aktiv, ob alle drei KB-Pakete – Word, MSO-Common-Component, Outlook – auf Ihren Clients installiert sind. Microsoft hat in der Vergangenheit mehrfach erlebt, dass Teilinstallationen Systeme verwundbar lassen. Ein Skript ueber WMIC oder PowerShell, das die installierten KBs gegen die Soll-Liste prueft, ist hier die schnellste Loesung.

2. Preview Pane temporaer deaktivieren

Bis zum vollstaendigen Rollout der Patches sollten Sie ueberlegen, die Outlook-Preview-Pane per Gruppenrichtlinie zu deaktivieren oder zumindest auf "Nur sichere Anhaenge" zu konfigurieren. Im Windows Explorer kann der Preview-Bereich ueber den Reiter "Ansicht" ausgeblendet werden – und sollte fuer alle Konten, die regelmaessig externe Dateien empfangen, deaktiviert werden.

Beispiel-Registry-Pfad fuer die Deaktivierung der Word-Vorschau im Explorer:

HKEY_CLASSES_ROOT\.docx\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}

Das entsprechende Schluessel-Backup vor Aenderung ist Pflicht.

3. Endpoint Detection scharf stellen

Stellen Sie sicher, dass Ihr EDR-System auf untypisches Verhalten der Word- und Outlook-Prozesse achtet – insbesondere Child-Prozesse wie powershell.exe, cmd.exe oder rundll32.exe, die unmittelbar nach Word- oder Outlook-Aktivitaet gestartet werden. Microsoft Defender for Endpoint und die meisten kommerziellen EDR-Loesungen haben dafuer fertige Detection-Rules; sie muessen aber im Audit- oder Block-Modus aktiv geschaltet sein.

4. Attack Surface Reduction Rules aktivieren

Microsoft empfiehlt seit Jahren die Aktivierung der "Attack Surface Reduction Rules" (ASR), insbesondere:

  • Block all Office applications from creating child processes
  • Block Office applications from injecting code into other processes
  • Block Win32 API calls from Office macros

Diese Regeln verhindern, dass selbst nach erfolgreicher Ausnutzung der Speicherkorruption die naechste Stufe der Killchain – das Nachladen einer Payload – sauber laeuft.

Strategische Konsequenzen

Die Mai-2026-Word-Luecken sind kein Einzelfall. Sie reihen sich ein in eine Serie von Office-Schwachstellen, die sich nicht ueber Makros, sondern ueber den Parser fuer das Datei-Format selbst ausnutzen lassen. Wer noch immer glaubt, dass die Deaktivierung von Makros die Office-Suite absichert, hat das Bedrohungsmodell der letzten drei Jahre nicht aktualisiert. Die Datei selbst ist heute die Waffe, nicht das Makro darin.

Fuer den Mittelstand bedeutet das eine dauerhafte Verschiebung der Verteidigungslinie: weg von "Mitarbeiter aufklaeren, Makros sperren" hin zu "Patchen in Wochen, nicht Monaten – und Vorschaufenster als Angriffsoberflaeche akzeptieren". Genau hier setzt das pleXtec-Konzept fuer Informationssicherheit an: definierte Patch-SLAs, EDR-gestuetzte Detection, harte Konfiguration der Office-Suite und kontinuierliche Pruefung der Angriffsoberflaeche.

Wer im Mai 2026 noch ueber den Sinn von Endpoint Detection diskutiert, hat das BSI-Bundeslagebild Cybercrime offensichtlich nicht gelesen. Die Schadenssumme fuer die deutsche Wirtschaft hat 2025 die Marke von 200 Milliarden Euro durchbrochen – und jeder einzelne Word-RCE wie CVE-2026-40366 ist ein direkter Beitrag zu dieser Zahl.

Was pleXtec jetzt empfiehlt

Wenn Sie unsicher sind, ob Ihre Office-Landschaft vollstaendig gepatcht ist oder ob Ihre EDR-Konfiguration auf diese spezifische Angriffsklasse vorbereitet ist, sprechen Sie uns an. Unsere Security-Engineers haben in den letzten Tagen mehrere Mittelstands-Kunden auditiert und in einigen Faellen fehlende KB-Pakete in mehr als 30 Prozent der Clients gefunden – obwohl die Update-Policy formal auf "automatisch" stand. Ein kurzer Patch-Audit deckt das in wenigen Stunden auf.

Ueber unsere Leistungen im Bereich Cybersecurity und Managed Services begleiten wir Sie vom Patch-Management ueber Endpoint-Detection bis hin zum Incident-Response-Plan. Kontaktieren Sie uns – idealerweise heute, nicht naechste Woche.