Sicherheitsexperten blicken in diesem Monat mit Sorge auf die Veröffentlichungen von Microsoft. Der aktuelle Patchday im Februar 2026 ist kein gewöhnlicher Wartungstermin. Mit insgesamt 58 behobenen Schwachstellen, darunter sechs aktiv ausgenutzte Zero-Day-Lücken, steht die IT-Welt unter Zugzwang.
In einer Zeit, in der Ransomware-Gruppen und staatlich akteurierte Hacker schneller denn je auf neue Sicherheitslücken reagieren, ist ein proaktives Schwachstellen-Management überlebenswichtig für Unternehmen jeder Größe. Dieser Artikel bietet Ihnen eine tiefgreifende Analyse der Bedrohungslage, stellt die gefährlichsten Schwachstellen vor und gibt Ihnen einen klaren Schlachtplan für die Bereitstellung der Sicherheitsupdates an die Hand. Wenn Sie wissen wollen, wie Sie Ihre Windows-Umgebung im Februar 2026 absichern, sind Sie hier genau richtig.
Die nackten Zahlen: Eine Übersicht des Februar-Updates
Bevor wir in die technischen Details der Zero-Day-Lücke eintauchen, werfen wir einen Blick auf die Statistik des aktuellen Patch-Zyklus. Microsoft hat im Februar 2026 insgesamt 58 Sicherheitslücken geschlossen.
Verteilung nach Schweregrad
- Kritisch (Critical): 7
- Wichtig (Important): 50
- Moderat (Moderate): 1
Die betroffenen Produkte umfassen das gesamte Microsoft-Ökosystem, von Windows 11 und Windows Server 2025 bis hin zu Microsoft Office, Azure und dem Edge-Browser. Besonders auffällig ist die hohe Anzahl an Lücken, die eine Remote-Code-Execution (RCE) ermöglichen – also das Ausführen von Schadcode aus der Ferne.
Brennpunkt: Die 6 aktiv ausgenutzten Zero-Day-Lücken
Das größte Risiko für Ihre Cyber-Sicherheit geht von Schwachstellen aus, für die bereits Exploits im Umlauf sind. Im Februar 2026 hat Microsoft sechs solcher Lücken identifiziert und gepatcht.
CVE-2026-23655 – Microsoft ACI Confidential Containers Information Disclosure Vulnerability
„Ein einziger Fehler bei der Speicherung von Geheimnissen kann Schlüssel offenlegen, die ganze Cloud-Umgebungen freischalten.“
CVE-2026-23655 ist eine kritische Sicherheitslücke, die Microsoft Azure Container Instances (ACI) Confidential Containers betrifft. Das Problem entsteht durch die Speicherung sensibler Daten im Klartext, wodurch ein autorisierter Angreifer über das Netzwerk auf geheime Tokens und kryptografische Schlüssel zugreifen kann. Obwohl keine aktive Ausnutzung beobachtet wurde, macht die Art der offengelegten Daten diese Sicherheitslücke in Cloud- und Unternehmensumgebungen hochsensibel.
CVSS-Score: 6,5
SCHWERWIEGENDHEIT: Kritisch
BEDROHUNG: Offenlegung von Informationen
EXPLOITS: Zum Zeitpunkt der Veröffentlichung sind keine öffentlich bekannt gewordenen Exploits oder Angriffe in freier Wildbahn bekannt. Microsoft stuft die Ausnutzung als unwahrscheinlich ein, und es wurde kein Proof-of-Concept-Code veröffentlicht.
TECHNISCHE ZUSAMMENFASSUNG: Die Schwachstelle wird durch die unsachgemäße Behandlung sensibler Informationen innerhalb der Azure Compute-Infrastruktur verursacht, die ACI Confidential Containers unterstützt. Bestimmte Geheimnisse, darunter Tokens und Schlüssel, werden möglicherweise im Klartext gespeichert, anstatt sicher geschützt zu werden. Ein Angreifer mit geringen Berechtigungen und autorisiertem Zugriff könnte diese Daten über das Netzwerk abrufen, was zu einer unbeabsichtigten Offenlegung vertraulicher Informationen führen würde.
AUSNUTZBARKEIT: Dieses Problem betrifft Azure-Umgebungen, die ACI Confidential Containers verwenden. Die Ausnutzung erfordert geringe Berechtigungen, aber keine Benutzerinteraktion. Ein Angreifer, der bereits über autorisierten Zugriff verfügt, könnte die Schwachstelle aus der Ferne ausnutzen, um an sensible Geheimnisse zu gelangen.
AUSWIRKUNGEN AUF DAS GESCHÄFT: Die Offenlegung geheimer Tokens und kryptografischer Schlüssel kann schwerwiegende Folgen für Unternehmen haben, die sensible Workloads in Azure ausführen. Kompromittierte Geheimnisse können seitliche Bewegungen, unbefugten Zugriff auf Cloud-Ressourcen, Datenoffenlegung oder Dienstmissbrauch ermöglichen. In regulierten oder vertrauensintensiven Umgebungen kann dies zu Compliance-Verstößen, Reputationsschäden und dem Verlust des Kundenvertrauens führen.
WORKAROUND: Wenn eine sofortige Patch-Installation nicht möglich ist, sollten Unternehmen den Zugriff auf betroffene Containerumgebungen minimieren, Geheimnisse häufig rotieren und Zugriffsberechtigungen überprüfen, um sicherzustellen, dass nur unbedingt notwendige Rollen zugewiesen werden. Die Überwachung auf ungewöhnliche Zugriffe auf Container-Metadaten oder Geheimnistresore kann dazu beitragen, das Risiko zu verringern.
DRINGLICHKEIT: Diese Schwachstelle sollte aufgrund ihrer kritischen Schwere und der hohen Sensibilität der gefährdeten Daten umgehend behoben werden. Selbst ohne aktive Ausnutzung stellt die Offenlegung von Geheimnissen in Cloud-Umgebungen ein Risiko mit hohen Auswirkungen dar, das bei Missbrauch schnell eskalieren kann.
CVE-2026-21522 – Microsoft ACI Confidential Containers Elevation of Privilege Vulnerability
„Eine Befehlsinjektionsschwachstelle in vertraulichen Containern kann vertrauenswürdige Workloads in einen Weg zur vollständigen Kontrolle verwandeln.“
CVE-2026-21522 ist eine kritische Sicherheitslücke zur Erhöhung von Berechtigungen, die vertrauliche Container von Microsoft Azure Container Instances (ACI) betrifft. Die Sicherheitslücke wird durch eine unsachgemäße Neutralisierung spezieller Elemente bei der Befehlsverarbeitung verursacht, wodurch ein autorisierter Angreifer mit hohen Berechtigungen lokal beliebige Befehle einfügen und ausführen kann. Eine erfolgreiche Ausnutzung ermöglicht es Angreifern, Berechtigungen innerhalb der Containerumgebung zu erhöhen und möglicherweise auf geschützte Geheimnisse und sensible Workloads zuzugreifen.
CVSS-Score: 6,7
SCHWERWIEGENDHEIT: Kritisch
BEDROHUNG: Erhöhung von Berechtigungen
EXPLOITS: Zum Zeitpunkt der Veröffentlichung wurden keine öffentlichen Exploits beobachtet. Es existiert jedoch ein Proof-of-Concept-Exploit-Code, der bestätigt, dass die Sicherheitslücke unter den richtigen Bedingungen praktisch ausgenutzt werden kann.
TECHNISCHE ZUSAMMENFASSUNG: Die Schwachstelle entsteht durch unzureichende Eingabereinigung in der Befehlsausführungslogik innerhalb der Azure Compute Gallery-Komponenten, die ACI Confidential Containers unterstützen. Sonderzeichen oder manipulierte Befehlseingaben werden nicht ordnungsgemäß neutralisiert, wodurch eine Befehlsinjektion möglich ist. Ein Angreifer mit autorisiertem Zugriff und hohen Berechtigungen kann diese Schwachstelle ausnutzen, um beliebige Befehle innerhalb des Laufzeitkontexts des Containers auszuführen. In vertraulichen Container-Bereitstellungen untergräbt dies die Isolationsgarantien und kann Geheimnisse oder vertrauenswürdige Ausführungsgrenzen offenlegen.
AUSNUTZBARKEIT: Dieses Problem betrifft Azure-Umgebungen, in denen ACI Confidential Containers ausgeführt werden. Die Ausnutzung erfolgt lokal, erfordert hohe Berechtigungen und keine Benutzerinteraktion. Nach der Ausnutzung können Angreifer Befehle mit denselben Berechtigungen wie der betroffene Container ausführen und so die Kontrolle innerhalb dieser Umgebung effektiv erweitern.
AUSWIRKUNGEN AUF DAS GESCHÄFT: Die Ausweitung von Berechtigungen innerhalb vertraulicher Container stellt ein ernstes Risiko für Unternehmen dar, die Azure für sensible oder regulierte Workloads nutzen.
Angreifer könnten auf geschützte Geheimnisse zugreifen, Workloads manipulieren, die Verfügbarkeit stören oder die mit vertraulichem Computing verbundenen Vertrauensannahmen gefährden. Dies könnte zu Datenoffenlegung, Betriebsstörungen und einem Verlust des Vertrauens in Cloud-Sicherheitskontrollen führen.
WORKAROUND: Wenn der Patch nicht sofort angewendet werden kann, sollten Unternehmen den administrativen Zugriff auf ACI-Umgebungen streng einschränken, die Rollenzuweisungen überprüfen und die Containeraktivität auf unerwartete Befehlsausführungen überwachen. Durch die Reduzierung der Anzahl von Benutzern mit erhöhten Berechtigungen kann das Risiko erheblich gesenkt werden.
DRINGLICHKEIT: Diese Schwachstelle erfordert aufgrund ihrer kritischen Schwere, der bestätigten Proof-of-Concept-Ausnutzbarkeit und ihrer Auswirkungen auf vertrauliche Computing-Umgebungen, in denen Vertrauen und Isolation von entscheidender Bedeutung sind, eine schnelle Behebung.
CVE-2026-21533 – Windows Remote Desktop Services – Schwachstelle zur Erhöhung von Berechtigungen
„Eine Schwachstelle in Remote Desktop verwandelt eingeschränkten Zugriff in vollständige SYSTEM-Kontrolle und gefährdet damit ganze Windows-Hosts.“
CVE-2026-21533 ist eine Schwachstelle mit hoher Schweregradstufe in Windows Remote Desktop Services, die eine Erhöhung von Berechtigungen ermöglicht. Aufgrund einer unsachgemäßen Berechtigungsverwaltung kann ein autorisierter lokaler Angreifer mit geringen Berechtigungen diese Schwachstelle ausnutzen, um seine Zugriffsrechte auf SYSTEM-Ebene zu erhöhen. Microsoft hat bestätigt, dass bereits Exploits entdeckt wurden, sodass diese Schwachstelle keine theoretische Gefahr, sondern eine reale und aktive Bedrohung darstellt.
CVSS-Score: 7,8
SCHWERWIEGENDHEIT: Wichtig
BEDROHUNG: Erhöhung der Berechtigungen
EXPLOITS: Es wurde eine Ausnutzung in freier Wildbahn festgestellt. Es existiert ein funktionsfähiger Exploit-Code, der zeigt, dass Angreifer diese Sicherheitslücke zuverlässig ausnutzen können, um SYSTEM-Berechtigungen auf betroffenen Windows-Systemen zu erlangen.
TECHNISCHE ZUSAMMENFASSUNG: Die Sicherheitslücke wird durch eine unsachgemäße Handhabung der Berechtigungsprüfungen innerhalb der Windows-Remotedesktopdienste verursacht. Wenn bestimmte lokale Vorgänge ausgeführt werden, kann der Dienst die Berechtigungsgrenzen nicht korrekt durchsetzen, sodass ein authentifizierter Benutzer mit geringen Berechtigungen Aktionen ausführen kann, die für höhere Berechtigungsstufen reserviert sind. Dies führt zu einer vollständigen Ausweitung der Berechtigungen auf SYSTEM, wodurch die vollständige Kontrolle über den betroffenen Host gewährt wird.
EXPLOITIERBARKEIT: Diese Sicherheitslücke betrifft unterstützte Windows-Systeme, auf denen Remotedesktopdienste ausgeführt werden. Die Ausnutzung erfolgt lokal, erfordert nur geringe Berechtigungen und keine Benutzerinteraktion. Ein Angreifer mit grundlegenden Zugriffsrechten kann die Schwachstelle ausnutzen, um Berechtigungen auf SYSTEM-Ebene zu erlangen.
AUSWIRKUNGEN AUF DAS GESCHÄFT: Eine erfolgreiche Ausnutzung ermöglicht es Angreifern, Windows-Systeme vollständig zu kompromittieren, persistente Malware zu installieren, Sicherheitstools zu deaktivieren, sensible Daten zu stehlen und tiefer in Unternehmensnetzwerke vorzudringen. Da Remote Desktop in Unternehmens- und Verwaltungsumgebungen häufig aktiviert ist, stellt diese Schwachstelle ein ernstes Risiko für domänengebundene Systeme und kritische Infrastrukturen dar.
WORKAROUND: Wenn eine sofortige Patch-Installation nicht möglich ist, sollten Unternehmen den lokalen Benutzerzugriff einschränken, die Remote-Desktop-Aktivitäten genau überwachen und das Prinzip der geringsten Privilegien anwenden. Durch die Reduzierung der Anzahl der Benutzer mit lokalem Zugriff kann das Risiko bis zur Installation der Updates verringert werden.
DRINGLICHKEIT: Diese Schwachstelle erfordert sofortige Aufmerksamkeit, da eine aktive Ausnutzung bestätigt wurde und ein funktionsfähiger Exploit-Code existiert. Nicht gepatchte Systeme bleiben anfällig für schnelle Privilegieneskalationsangriffe, die zu einer vollständigen Übernahme des Systems führen können.
CVE-2026-21525 – Denial-of-Service-Sicherheitslücke im Windows-Remotenzugriffs-Verbindungsmanager
„Ein einfacher lokaler Auslöser kann wichtige Windows-Netzwerkdienste ohne Vorwarnung offline schalten.“
CVE-2026-21525 ist eine Denial-of-Service-Sicherheitslücke mittlerer Schwere, die den Windows-Remotenzugriffs-Verbindungsmanager betrifft.
Die Schwachstelle wird durch eine Null-Zeiger-Dereferenzierung verursacht, die es einem nicht autorisierten lokalen Angreifer ermöglicht, den betroffenen Dienst zum Absturz zu bringen. Obwohl dabei keine Daten offengelegt werden und keine Codeausführung möglich ist, kann die Netzwerkkonnektivität und -verfügbarkeit auf den betroffenen Systemen gestört werden. Microsoft hat bestätigt, dass eine Ausnutzung festgestellt wurde.
CVSS-Score: 6,2
SCHWERE: Mittel
BEDROHUNG: Denial-of-Service
EXPLOITS: Es gibt keine öffentlich bekannt gegebenen Exploit-Tools oder Proof-of-Concept-Codes. Microsoft hat jedoch bestätigt, dass eine Ausnutzung festgestellt wurde, was darauf hindeutet, dass die Sicherheitslücke trotz fehlender öffentlicher Exploit-Details in realen Szenarien ausgenutzt wurde.
TECHNISCHE ZUSAMMENFASSUNG: Die Sicherheitslücke tritt auf, wenn der Windows-Remotezugriffsverbindungsmanager bestimmte Anfragen verarbeitet und eine Null-Zeiger-Referenz nicht ordnungsgemäß verarbeitet. Dies führt zu einer Ausnahme auf Systemebene, die dazu führt, dass der Dienst unerwartet beendet wird. Ein Angreifer benötigt keine Authentifizierung oder Benutzerinteraktion, um die Bedingung lokal auszulösen, was zu einem Denial-of-Service führt, der den Fernzugriff und die Netzwerkfunktionalität beeinträchtigt.
EXPLOITABILITY: Dieses Problem betrifft unterstützte Windows-Systeme, auf denen der Dienst „Remote Access Connection Manager” aktiviert ist. Die Ausnutzung erfolgt lokal, erfordert keine Berechtigungen und ist nicht auf Benutzerinteraktion angewiesen. Ein Angreifer mit grundlegendem lokalem Zugriff kann die Schwachstelle wiederholt auslösen, um eine anhaltende Dienstunterbrechung zu verursachen.
AUSWIRKUNGEN AUF DAS GESCHÄFT: Denial-of-Service-Bedingungen auf Windows-Systemen können die Remote-Konnektivität, den VPN-Zugriff und abhängige Dienste stören. In Unternehmensumgebungen kann dies zu Betriebsausfällen, Produktivitätsverlusten bei Remote-Mitarbeitern und potenziellen Dienstausfällen führen. Wiederholte Ausnutzung könnte als Ablenkung oder zur Beeinträchtigung der Systemzuverlässigkeit während umfassenderer Angriffsaktivitäten genutzt werden.
WORKAROUND: Wenn der Patch nicht sofort angewendet werden kann, sollten Unternehmen unnötigen lokalen Zugriff auf Systeme einschränken, Dienstabstürze im Zusammenhang mit Fernzugriffskomponenten überwachen und sicherstellen, dass schnelle Verfahren zur Wiederherstellung des Dienstes vorhanden sind, um Ausfallzeiten zu reduzieren.
CVE-2026-21519 – Desktop Window Manager Elevation of Privilege Vulnerability
„Eine Schwachstelle in der Windows-Grafikverarbeitung ermöglicht es Angreifern, grundlegenden Zugriff in vollständige SYSTEM-Kontrolle umzuwandeln.“
CVE-2026-21519 ist eine schwerwiegende Sicherheitslücke im Windows Desktop Window Manager (DWM), die eine Erhöhung der Berechtigungen ermöglicht. Das Problem wird durch einen Typkonfliktfehler verursacht, der es einem autorisierten lokalen Angreifer mit geringen Berechtigungen ermöglicht, eine unsachgemäße Ressourcenverwaltung auszunutzen und seine Zugriffsrechte auf SYSTEM-Ebene zu erhöhen. Microsoft hat bestätigt, dass diese Sicherheitslücke ausgenutzt wurde, sodass sie trotz der Einstufung als „kritisch“ ein hohes Risiko darstellt.
CVSS-Score: 7,8
SCHWERWIEGENDHEIT: Wichtig
BEDROHUNG: Erhöhung von Berechtigungen
EXPLOITS: Die Ausnutzung wurde in realen Angriffen festgestellt. Es wurde kein öffentlicher Proof-of-Concept-Code veröffentlicht, aber die bestätigte Ausnutzung deutet darauf hin, dass Angreifer über zuverlässige Methoden verfügen, um diese Schwachstelle zu missbrauchen.
TECHNISCHE ZUSAMMENFASSUNG: Die Sicherheitslücke entsteht durch Typverwechslungen innerhalb des Desktop Window Managers bei der Verarbeitung bestimmter grafischer Objekte und Speicherstrukturen. Aufgrund falscher Annahmen über Objekttypen kann der DWM mit inkompatiblen Datentypen auf Ressourcen zugreifen. Ein Angreifer kann Aktionen erstellen, die dieses Verhalten manipulieren, was zu einer Beschädigung des Speichers und zur Ausführung von Code mit erhöhten Rechten führt. Eine erfolgreiche Ausnutzung führt zu Zugriff auf SYSTEM-Ebene.
AUSNUTZBARKEIT: Dieses Problem betrifft unterstützte Windows-Versionen, bei denen der Desktop Window Manager aktiviert ist. Die Ausnutzung erfolgt lokal, erfordert geringe Berechtigungen und erfordert keine Benutzerinteraktion. Ein Angreifer mit grundlegendem Zugriff auf das System kann die Schwachstelle auslösen, um die vollständige Kontrolle über den betroffenen Host zu erlangen.
AUSWIRKUNGEN AUF DAS GESCHÄFT: Schwachstellen in Kernkomponenten von Windows, die eine Berechtigungserweiterung ermöglichen, sind besonders gefährlich, da sie eine vollständige Kompromittierung des Systems ermöglichen.
Angreifer können Sicherheitskontrollen deaktivieren, Persistenz herstellen, auf sensible Daten zugreifen und sich lateral in Unternehmensnetzwerken bewegen. Da DWM auf fast allen Windows-Desktops und -Servern mit GUI-Zugriff ausgeführt wird, ist die Angriffsfläche weit verbreitet.
WORKAROUND: Wenn Patches nicht sofort angewendet werden können, sollten Unternehmen den lokalen Zugriff auf Systeme einschränken, Richtlinien für Benutzer mit geringsten Berechtigungen durchsetzen und auf abnormales Verhalten im Zusammenhang mit dem Desktop Window Manager achten. Durch die Reduzierung der lokalen Benutzerrisiken wird die Wahrscheinlichkeit einer Ausnutzung verringert.
DRINGLICHKEIT: Diese Schwachstelle sollte aufgrund der bestätigten Ausnutzung und der Möglichkeit, Berechtigungen auf SYSTEM zu erweitern, schnell behoben werden. Nicht gepatchte Systeme bleiben nach dem ersten Zugriff für eine vollständige Übernahme anfällig.
CVE-2026-21514 – Sicherheitslücke in Microsoft Word
„Ein bösartiges Dokument kann die integrierten Abwehrmechanismen von Word unbemerkt umgehen und die Tür für eine vollständige Kompromittierung des Systems öffnen.“
CVE-2026-21514 ist eine Sicherheitslücke in Microsoft Word, die eine Umgehung von Sicherheitsfunktionen ermöglicht und als schwerwiegend eingestuft wird. Das Problem wird durch die Verwendung nicht vertrauenswürdiger Eingaben bei Sicherheitsentscheidungen verursacht, wodurch Angreifer OLE-Schutzmechanismen umgehen können. Indem sie einen Benutzer dazu verleiten, ein speziell gestaltetes Word-Dokument zu öffnen, können Angreifer Schutzmaßnahmen umgehen, die gefährliche COM- und OLE-Inhalte blockieren sollen. Microsoft hat bestätigt, dass diese Sicherheitslücke öffentlich bekannt gegeben wurde und aktiv ausgenutzt wird.
CVSS-Score: 7,8
SCHWERWIEGENDHEIT: Wichtig
BEDROHUNG: Umgehung von Sicherheitsfunktionen
EXPLOITS: Die Sicherheitslücke wurde öffentlich bekannt gegeben und wird aktiv ausgenutzt. Es gibt einen funktionsfähigen Exploit-Code, der eine zuverlässige Umgehung der OLE-Schutzmaßnahmen von Word durch manipulierte Dokumente demonstriert, die über Social Engineering verbreitet werden.
TECHNISCHE ZUSAMMENFASSUNG: Der Fehler tritt auf, wenn Microsoft Word sich bei Sicherheitsentscheidungen in Bezug auf eingebettete OLE- und COM-Objekte auf nicht vertrauenswürdige Eingaben stützt. Dieses unsachgemäße Vertrauensmodell ermöglicht es bösartigen Dokumentmetadaten oder Objektdaten, Ausführungspfade zu beeinflussen, die eigentlich eingeschränkt sein sollten. Infolgedessen behandelt Word unsichere eingebettete Inhalte möglicherweise fälschlicherweise als vertrauenswürdig und umgeht damit Sicherheitsmaßnahmen, die die Ausnutzung anfälliger Steuerelemente verhindern sollen. Nach der Umgehung können Angreifer Folgeaktionen auslösen, die die Vertraulichkeit, Integrität und Verfügbarkeit gefährden.
AUSNUTZBARKEIT: Diese Sicherheitslücke betrifft unterstützte Versionen von Microsoft Word, einschließlich Microsoft 365 Apps und Microsoft Office-Installationen, bei denen OLE-Schutzmaßnahmen durchgesetzt werden. Die Ausnutzung erfordert keine Berechtigungen, aber eine Benutzerinteraktion – das Opfer muss ein bösartiges Dokument öffnen. Der Vorschaubereich ist kein Angriffsvektor.
AUSWIRKUNGEN AUF DAS GESCHÄFT: Da Microsoft Word weit verbreitet ist und häufig angegriffen wird, stellt diese Sicherheitslücke ein erhebliches Risiko für Unternehmen dar. Eine erfolgreiche Ausnutzung kann zur Ausführung von Malware, zum Diebstahl von Anmeldedaten, zur Datenexfiltration und zu dauerhaftem Zugriff führen. Sicherheitslücken, die die Umgehung von Sicherheitsfunktionen ermöglichen, sind besonders gefährlich, da sie das Vertrauen der Benutzer in die integrierten Schutzmaßnahmen untergraben und die Erfolgsquote von Phishing-Kampagnen erhöhen.
WORKAROUND: Wenn Patches nicht sofort angewendet werden können, sollten Unternehmen die E-Mail-Filterung verstärken, nicht vertrauenswürdige Office-Anhänge blockieren und Richtlinien für den Umgang mit geschützten Dokumenten durchsetzen. Das Bewusstsein der Benutzer und eine geringere Exposition gegenüber externen Dokumenten können dazu beitragen, das Risiko vorübergehend zu senken.
DRINGLICHKEIT: Diese Schwachstelle erfordert eine sofortige Behebung, da eine aktive Ausnutzung bestätigt wurde, sie öffentlich bekannt ist und funktionierende Exploit-Techniken verfügbar sind. Eine verzögerte Patch-Installation erhöht das Risiko von Phishing-basierten Kompromittierungskampagnen erheblich.
CVE-2026-21513 – Sicherheitslücke beim Umgehen von Sicherheitsfunktionen im MSHTML-Framework
„Eine speziell gestaltete Datei kann Windows-Sicherheitsabfragen unbemerkt umgehen und mit einem einzigen Klick gefährliche Aktionen auslösen.“
CVE-2026-21513 ist eine Sicherheitslücke mit hoher Schweregradstufe im Microsoft MSHTML Framework, einer Kernkomponente, die von Windows und mehreren Anwendungen zum Rendern von HTML-Inhalten verwendet wird. Die Sicherheitslücke wird durch einen Fehler im Schutzmechanismus verursacht, der es Angreifern ermöglicht, Ausführungsaufforderungen zu umgehen, wenn Benutzer mit bösartigen Dateien interagieren. Microsoft hat bestätigt, dass dieses Problem öffentlich bekannt gegeben und aktiv ausgenutzt wurde.
CVSS-Score: 8,8
SCHWERWIEGENDHEIT: Wichtig
BEDROHUNG: Umgehung von Sicherheitsfunktionen
EXPLOITS: Diese Sicherheitslücke wurde öffentlich bekannt gegeben und ihre Ausnutzung wurde in realen Angriffen festgestellt. Obwohl kein eigenständiger Proof-of-Concept-Code veröffentlicht wurde, deutet die bestätigte Ausnutzung darauf hin, dass Angreifer diese Schwachstelle in aktiven Kampagnen erfolgreich ausnutzen.
TECHNISCHE ZUSAMMENFASSUNG: Die Sicherheitslücke entsteht durch einen Fehler in der Durchsetzung der Sicherheitsmaßnahmen von MSHTML bei der Verarbeitung speziell gestalteter HTML- oder Verknüpfungsdateien (.lnk). Durch Manipulation der Art und Weise, wie Windows Shell und MSHTML eingebettete Inhalte verarbeiten, können Angreifer die Ausführungswarnungen umgehen, die normalerweise Benutzer schützen. Wenn ein Benutzer die schädliche Datei öffnet oder mit ihr interagiert, verarbeitet und führt das Betriebssystem möglicherweise Inhalte ohne ordnungsgemäße Sicherheitsüberprüfung aus, wodurch die integrierten Schutzmaßnahmen unterlaufen werden.
AUSNUTZBARKEIT: Dieses Problem betrifft unterstützte Windows-Systeme, die auf dem MSHTML-Framework basieren. Die Ausnutzung erfolgt über das Netzwerk und erfordert eine Interaktion des Benutzers, z. B. das Öffnen einer bösartigen HTML-Datei oder das Klicken auf eine Verknüpfung, die per E-Mail, Link oder Download bereitgestellt wird. Der Angreifer benötigt keine Berechtigungen.
AUSWIRKUNGEN AUF DAS GESCHÄFT: Sicherheitslücken, die die Umgehung von Sicherheitsfunktionen ermöglichen, erhöhen die Erfolgsquote von Phishing- und Malware-Kampagnen erheblich. In Unternehmensumgebungen kann diese Schwachstelle zur unbefugten Ausführung von Code, zur Verbreitung von Malware, zum Diebstahl von Anmeldedaten und zur Kompromittierung des Systems führen. Da MSHTML tief in Windows integriert ist, kann die Ausnutzung eine Vielzahl von Systemen und Benutzern betreffen.
WORKAROUND: Wenn Patches nicht sofort angewendet werden können, sollten Unternehmen die Verarbeitung von HTML- und Verknüpfungsdateien aus nicht vertrauenswürdigen Quellen einschränken, die E-Mail- und Webfilterung verstärken und die Benutzer darauf hinweisen, unerwartete Anhänge oder Links nicht zu öffnen. Durch die Reduzierung der Exposition gegenüber externen Inhalten wird das Risiko einer Ausnutzung verringert.
DRINGLICHKEIT: Diese Schwachstelle erfordert eine schnelle Behebung, da eine aktive Ausnutzung bestätigt wurde und sie die zentralen Windows-Sicherheitsabfragen umgehen kann. Eine verzögerte Patch-Installation setzt Benutzer Phishing-Angriffen aus, die direkt zu einer Kompromittierung des Systems führen können.
CVE-2026-21510 – Sicherheitslücke in der Windows-Shell
„Ein einziger Klick auf einen bösartigen Link kann die Windows-Schutzmaßnahmen unbemerkt umgehen und vom Angreifer kontrollierte Inhalte ohne Warnung ausführen.“
CVE-2026-21510 ist eine Sicherheitslücke in Windows Shell, die eine Umgehung von Sicherheitsfunktionen ermöglicht und als schwerwiegend eingestuft wird. Das Problem wird durch einen Fehler im Schutzmechanismus verursacht, der es einem unbefugten Angreifer ermöglicht, Windows SmartScreen und Sicherheitsabfragen zu umgehen. Indem sie einen Benutzer dazu verleiten, einen bösartigen Link oder eine Verknüpfungsdatei zu öffnen, können Angreifer Inhalte ohne die üblichen Warnungen oder Zustimmungsdialoge ausführen. Microsoft hat bestätigt, dass diese Sicherheitslücke öffentlich bekannt gegeben wurde und aktiv ausgenutzt wird.
CVSS-Score: 8,8
SCHWERWIEGENDHEIT: Wichtig
BEDROHUNG: Umgehung von Sicherheitsfunktionen
EXPLOITS: Diese Sicherheitslücke wurde öffentlich bekannt gegeben und es wurde eine Ausnutzung in freier Wildbahn festgestellt. Es gibt funktionierende Exploit-Techniken, die eine zuverlässige Umgehung der Sicherheitsabfragen von Windows Shell und SmartScreen durch manipulierte Links oder Verknüpfungsdateien demonstrieren.
TECHNISCHE ZUSAMMENFASSUNG: Die Sicherheitslücke resultiert aus der unsachgemäßen Behandlung von durch Angreifer kontrollierten Inhalten innerhalb von Windows Shell-Komponenten. Bei der Verarbeitung speziell gestalteter Links oder Verknüpfungsdateien versagt Windows Shell bei der korrekten Durchsetzung von Sicherheitsmaßnahmen, die Benutzer vor der Ausführung potenziell gefährlicher Inhalte warnen sollen. Dieser Ausfall des Schutzmechanismus ermöglicht die Ausführung bösartiger Payloads, ohne dass SmartScreen oder Standard-Sicherheitsabfragen ausgelöst werden, wodurch die Vertrauens- und Ausführungsschutzmaßnahmen von Windows unterlaufen werden.
AUSNUTZBARKEIT: Dieses Problem betrifft unterstützte Windows-Systeme, die für die Datei- und Link-Verarbeitung auf Windows Shell angewiesen sind. Die Ausnutzung erfolgt über das Netzwerk und erfordert eine Benutzerinteraktion, insbesondere das Öffnen eines bösartigen Links oder einer bösartigen Verknüpfungsdatei. Der Angreifer benötigt keine Berechtigungen, was diese Sicherheitslücke für Phishing-basierte Angriffe sehr attraktiv macht.
AUSWIRKUNGEN AUF DAS GESCHÄFT: Die Umgehung der Schutzmaßnahmen von Windows Shell und SmartScreen erhöht die Erfolgsquote von Malware-Angriffen und Phishing-Kampagnen erheblich. Unternehmen können mit der Ausführung von nicht autorisiertem Code, Malware-Infektionen, Diebstahl von Anmeldedaten und lateralen Bewegungen innerhalb von Netzwerken konfrontiert werden. Da Windows Shell eine Kernkomponente ist, die von fast allen Benutzern verwendet wird, ist die Angriffsfläche groß und ohne Patches nur schwer vollständig einzuschränken.
WORKAROUND: Wenn der Patch nicht sofort angewendet werden kann, sollten Unternehmen ihre E-Mail- und Webfilterung verstärken, nicht vertrauenswürdige Verknüpfungsdateien blockieren und die Ausführung von Dateien aus nicht vertrauenswürdigen Quellen einschränken. Schulungen zur Sensibilisierung der Benutzer und restriktive Richtlinien für Anhänge können dazu beitragen, das Risiko zu verringern.
DRINGLICHKEIT: Diese Schwachstelle sollte aufgrund der bestätigten aktiven Ausnutzung und der Verfügbarkeit funktionierender Exploit-Methoden sofort behoben werden. Eine verzögerte Behebung setzt Systeme Phishing-Angriffen aus, die die zentralen Windows-Sicherheitsmaßnahmen umgehen.
Die Sicherheitsupdates vom Patch Tuesday im Februar 2026
Nachfolgend finden Sie eine vollständige Liste der behobenen Sicherheitslücken in den Updates vom Patch Tuesday im Februar 2026.
| Tag | CVE ID | CVE Title | Severity |
|---|---|---|---|
| .NET | CVE-2026-21218 | .NET Spoofing Vulnerability | Important |
| Azure Arc | CVE-2026-24302 | Azure Arc Elevation of Privilege Vulnerability | Critical |
| Azure Compute Gallery | CVE-2026-23655 | Microsoft ACI Confidential Containers Information Disclosure Vulnerability | Critical |
| Azure Compute Gallery | CVE-2026-21522 | Microsoft ACI Confidential Containers Elevation of Privilege Vulnerability | Critical |
| Azure DevOps Server | CVE-2026-21512 | Azure DevOps Server Cross-Site Scripting Vulnerability | Important |
| Azure Front Door (AFD) | CVE-2026-24300 | Azure Front Door Elevation of Privilege Vulnerability | Critical |
| Azure Function | CVE-2026-21532 | Azure Function Information Disclosure Vulnerability | Critical |
| Azure HDInsights | CVE-2026-21529 | Azure HDInsight Spoofing Vulnerability | Important |
| Azure IoT SDK | CVE-2026-21528 | Azure IoT Explorer Information Disclosure Vulnerability | Important |
| Azure Local | CVE-2026-21228 | Azure Local Remote Code Execution Vulnerability | Important |
| Azure SDK | CVE-2026-21531 | Azure SDK for Python Remote Code Execution Vulnerability | Important |
| Desktop Window Manager | CVE-2026-21519 | Desktop Window Manager Elevation of Privilege Vulnerability | Important |
| Github Copilot | CVE-2026-21516 | GitHub Copilot for Jetbrains Remote Code Execution Vulnerability | Important |
| GitHub Copilot and Visual Studio | CVE-2026-21523 | GitHub Copilot and Visual Studio Code Remote Code Execution Vulnerability | Important |
| GitHub Copilot and Visual Studio | CVE-2026-21256 | GitHub Copilot and Visual Studio Remote Code Execution Vulnerability | Important |
| GitHub Copilot and Visual Studio | CVE-2026-21257 | GitHub Copilot and Visual Studio Elevation of Privilege Vulnerability | Important |
| GitHub Copilot and Visual Studio Code | CVE-2026-21518 | GitHub Copilot and Visual Studio Code Security Feature Bypass Vulnerability | Important |
| Mailslot File System | CVE-2026-21253 | Mailslot File System Elevation of Privilege Vulnerability | Important |
| Microsoft Defender for Linux | CVE-2026-21537 | Microsoft Defender for Endpoint Linux Extension Remote Code Execution Vulnerability | Important |
| Microsoft Edge (Chromium-based) | CVE-2026-1861 | Chromium: CVE-2026-1861 Heap buffer overflow in libvpx | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2026-1862 | Chromium: CVE-2026-1862 Type Confusion in V8 | Unknown |
| Microsoft Edge for Android | CVE-2026-0391 | Microsoft Edge (Chromium-based) for Android Spoofing Vulnerability | Moderate |
| Microsoft Exchange Server | CVE-2026-21527 | Microsoft Exchange Server Spoofing Vulnerability | Important |
| Microsoft Graphics Component | CVE-2026-21246 | Windows Graphics Component Elevation of Privilege Vulnerability | Important |
| Microsoft Graphics Component | CVE-2026-21235 | Windows Graphics Component Elevation of Privilege Vulnerability | Important |
| Microsoft Office Excel | CVE-2026-21261 | Microsoft Excel Information Disclosure Vulnerability | Important |
| Microsoft Office Excel | CVE-2026-21258 | Microsoft Excel Information Disclosure Vulnerability | Important |
| Microsoft Office Excel | CVE-2026-21259 | Microsoft Excel Elevation of Privilege Vulnerability | Important |
| Microsoft Office Outlook | CVE-2026-21260 | Microsoft Outlook Spoofing Vulnerability | Important |
| Microsoft Office Outlook | CVE-2026-21511 | Microsoft Outlook Spoofing Vulnerability | Important |
| Microsoft Office Word | CVE-2026-21514 | Microsoft Word Security Feature Bypass Vulnerability | Important |
| MSHTML Framework | CVE-2026-21513 | MSHTML Framework Security Feature Bypass Vulnerability | Important |
| Power BI | CVE-2026-21229 | Power BI Remote Code Execution Vulnerability | Important |
| Role: Windows Hyper-V | CVE-2026-21244 | Windows Hyper-V Remote Code Execution Vulnerability | Important |
| Role: Windows Hyper-V | CVE-2026-21255 | Windows Hyper-V Security Feature Bypass Vulnerability | Important |
| Role: Windows Hyper-V | CVE-2026-21248 | Windows Hyper-V Remote Code Execution Vulnerability | Important |
| Role: Windows Hyper-V | CVE-2026-21247 | Windows Hyper-V Remote Code Execution Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2026-21236 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2026-21241 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2026-21238 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows App for Mac | CVE-2026-21517 | Windows App for Mac Installer Elevation of Privilege Vulnerability | Important |
| Windows Cluster Client Failover | CVE-2026-21251 | Cluster Client Failover (CCF) Elevation of Privilege Vulnerability | Important |
| Windows Connected Devices Platform Service | CVE-2026-21234 | Windows Connected Devices Platform Service Elevation of Privilege Vulnerability | Important |
| Windows GDI+ | CVE-2026-20846 | GDI+ Denial of Service Vulnerability | Important |
| Windows HTTP.sys | CVE-2026-21240 | Windows HTTP.sys Elevation of Privilege Vulnerability | Important |
| Windows HTTP.sys | CVE-2026-21250 | Windows HTTP.sys Elevation of Privilege Vulnerability | Important |
| Windows HTTP.sys | CVE-2026-21232 | Windows HTTP.sys Elevation of Privilege Vulnerability | Important |
| Windows Kernel | CVE-2026-21231 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows Kernel | CVE-2026-21222 | Windows Kernel Information Disclosure Vulnerability | Important |
| Windows Kernel | CVE-2026-21239 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows Kernel | CVE-2026-21245 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows LDAP – Lightweight Directory Access Protocol | CVE-2026-21243 | Windows Lightweight Directory Access Protocol (LDAP) Denial of Service Vulnerability | Important |
| Windows Notepad App | CVE-2026-20841 | Windows Notepad App Remote Code Execution Vulnerability | Important |
| Windows NTLM | CVE-2026-21249 | Windows NTLM Spoofing Vulnerability | Important |
| Windows Remote Access Connection Manager | CVE-2026-21525 | Windows Remote Access Connection Manager Denial of Service Vulnerability | Moderate |
| Windows Remote Desktop | CVE-2026-21533 | Windows Remote Desktop Services Elevation of Privilege Vulnerability | Important |
| Windows Shell | CVE-2026-21510 | Windows Shell Security Feature Bypass Vulnerability | Important |
| Windows Storage | CVE-2026-21508 | Windows Storage Elevation of Privilege Vulnerability | Important |
| Windows Subsystem for Linux | CVE-2026-21237 | Windows Subsystem for Linux Elevation of Privilege Vulnerability | Important |
| Windows Subsystem for Linux | CVE-2026-21242 | Windows Subsystem for Linux Elevation of Privilege Vulnerability | Important |
| Windows Win32K – GRFX | CVE-2023-2804 | Red Hat, Inc. CVE-2023-2804: Heap Based Overflow libjpeg-turbo | Important |