Aktuell wird eine gefährliche Zero-Day-Sicherheitslücke in Microsoft Office aktiv ausgenutzt. Betroffen sind über 400 Millionen Nutzer weltweit – von Office 2016 bis hin zu Microsoft 365, einschließlich der neuesten LTSC-Versionen 2021 und 2024. Das Erschreckende: Angreifer umgehen dabei sämtliche Schutzmechanismen, die Microsoft in den letzten Jahren aufgebaut hat.
In diesem Beitrag erfährst du, was genau passiert und wie du die Lücke manuell per Registry-Eingriff schließt.
Was ist passiert? (CVE-2026-21509)
Angreifer versenden präparierte Word-, Excel- oder PowerPoint-Dateien. Sobald ein Nutzer das Dokument öffnet, wird Schadcode ausgeführt.
- Keine Warnung: Es erscheint keine Makro-Warnung und kein „Inhalt aktivieren“-Button.
- Hintergrund: Die Datei nutzt ein eingebettetes OLE-Objekt (Shell.Explorer.1), das im Grunde einen Internet Explorer innerhalb deines Dokuments startet. Dieser kann Skripte ausführen und Malware von Remote-Servern nachladen.
- Das Risiko: Microsofts Bedrohungsanalyse-Team (MSTIC) beobachtet bereits gezielte Angriffe in freier Wildbahn. Selbst Versionen wie Office 2016 und 2019, deren Support eigentlich im Oktober 2025 endete, sind betroffen.
Sofort-Hilfe: Den gefährlichen COM-Objekt-Block setzen
Wenn du noch kein offizielles Sicherheitsupdate installieren konntest (z. B. auf älteren Systemen), ist dieser Registry-Workaround lebenswichtig. Er blockiert das betroffene Objekt {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} manuell.
Schritt-für-Schritt-Anleitung
1. Registry-Editor öffnen
Drücke Windows + R, gib regedit ein und bestätige die Administrator-Abfrage.
2. Pfad navigieren oder erstellen
Gehe zu: HKEY_LOCAL_MACHINESOFTWAREMicrosoftOffice16.0CommonCOM Compatibility
Falls der Ordner COM Compatibility nicht existiert: Rechtsklick auf „Common“ > Neu > Schlüssel und genau so benennen.
3. Die CLSID blockieren
- Erstelle unterhalb von
COM Compatibilityeinen neuen Schlüssel (Ordner) mit dem Namen:{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} - Klicke diesen Ordner an. Erstelle im rechten Fenster einen neuen DWORD-Wert (32-Bit).
- Benenne ihn:
Compatibility Flags. - Setze den Wert auf 400 (Basis: Hexadezimal).
Profi-Check via CMD
Um sicherzugehen, dass der Schutz aktiv ist, öffne die Eingabeaufforderung (CMD) als Administrator und führe diesen Befehl aus:
DOS
reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftOffice16.0CommonCOM Compatibility{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}" /v "Compatibility Flags"
Erscheint in der Antwort 0x400, ist das Objekt erfolgreich blockiert.
Die Schnelllösung via CMD (Für Office 2013 / 15.0)
Für Nutzer von Office 2013 (oder als schnelle Absicherung älterer Pfade) kannst du den Befehl direkt in einer Administrator-Eingabeaufforderung ausführen. Dies erstellt den Pfad und den Wert in einem Rutsch:
DOS
reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftOffice15.0CommonCOM Compatibility{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}" /v "Compatibility Flags" /t REG_DWORD /d 1024 /f
(Hinweis: Die Zahl 1024 im Befehl entspricht dem erforderlichen hexadezimalen Wert 400).
Warum dieser Workaround nötig ist
Obwohl Microsoft am Sonntag einen Notfall-Patch veröffentlicht hat, müssen viele Unternehmen (insbesondere Nutzer von Office 2016 und 2019) manuell nachbessern:
- Office 2016: Installiere KB5002713.
- Office 2019: Update auf Version 1808 (Build 10417.20095) erforderlich.
Da die US-Sicherheitsbehörde CISA diese Lücke bereits in den Katalog der „bekannten aktiv ausgenutzten Schwachstellen“ aufgenommen hat, drängt die Zeit. Dieser manuelle „Kill Bit“ ist die sicherste Methode, um Angreifern sofort den Weg zu versperren.
Bleib sicher! Teile diesen Beitrag mit deinem IT-Team oder Kollegen, um die Verbreitung dieser Zero-Day-Attacke zu stoppen.