Microsoft schließt 114 kritische Lücken – sofortiges Patchen ist Pflicht

Microsoft startet mit einem massiven Sicherheitsupdate ins neue Jahr. Der erste Patch Tuesday 2026 schließt 114 Schwachstellen in Windows, Office und Azure – darunter eine bereits aktiv ausgenutzte Zero-Day-Lücke. Für Unternehmen und Privatanwender ist sofortiges Handeln geboten.

Eine Zero-Day-Lücke wird bereits aktiv ausgenutzt

Die dringlichste Bedrohung ist die Schwachstelle CVE-2026-20805. Sie betrifft den Windows Desktop Window Manager und ermöglicht Angreifern den Zugriff auf sensible Speicheradressen. Obwohl mit einem moderaten CVSS-Score von 5,5 bewertet, wird die Lücke bereits in der Praxis ausgenutzt. Sicherheitsexperten warnen: Solche Schwachstellen werden oft genutzt, um fundamentale Sicherheitsbarrieren wie die Address Space Layout Randomization (ASLR) zu umgehen. Die US-Cybersicherheitsbehörde CISA hat die Lücke bereits in ihren Katalog bekannter, ausgenutzter Schwachstellen aufgenommen.

Viele Outlook-Nutzer unterschätzen ein reales Risiko: Schon die Vorschau einer manipulierten Datei kann zur Ausführung von Schadcode führen – genau wie in diesem Patch beschrieben. Der kostenlose Outlook‑Spezialkurs zeigt praxisnah, wie Sie Outlook sicher einrichten, automatische Vorschauen und riskante Add‑Ins korrekt konfigurieren, Konten sicher synchronisieren und verlorene E‑Mails wiederherstellen. Inkl. Checklisten für Backup, schnelle Schutzmaßnahmen nach Updates und Schritt‑für‑Schritt-Anleitungen für Administratoren. Outlook-Installationsanleitung herunterladen

Acht kritische Lücken in Office und Windows-Kern

Neben der Zero-Day-Lücke behebt das Update acht als kritisch eingestufte Sicherheitslücken. Mehrere davon betreffen Microsoft Office und Word. Schwachstellen wie CVE-2026-20952 oder CVE-2026-20944 könnten Angreifern die Ausführung von Schadcode ermöglichen – allein durch das Öffnen einer manipulierten Datei. In einigen Fällen reicht sogar schon die Vorschau in Outlook.

Weitere kritische Patches zielen auf Windows-Kernkomponenten. Die Lücke CVE-2026-20854 betrifft den Local Security Authority Subsystem Service (LSASS), einen zentralen Dienst für Authentifizierung. Eine andere, CVE-2026-20876, gefährdet die Virtualisierungsbasierte Sicherheit (VBS), die eigentlich sensible Prozesse isolieren soll.

Öffentlich bekannte Lücken und eine tickende Uhr

Zwei weitere Schwachstellen waren bereits vor Veröffentlichung der Patches öffentlich bekannt. Besonders brisant: CVE-2026-21265, eine Sicherheitsumgehung in Windows Secure Boot. Sie hängt mit Sicherheitszertifikaten aus dem Jahr 2011 zusammen, die ab Juni 2026 auslaufen. Wer das Update nicht einspielt und die neuen Zertifikate nicht bereitstellt, riskiert, dass Geräte nicht mehr sicher booten können.

Die andere öffentlich bekannte Lücke betrifft veraltete Agere-Softmodem-Treiber. Microsoft entfernt diese Legacy-Komponenten nun im Rahmen des kumulativen Update komplett aus dem System.

Warum dieses Update so wichtig ist

Das umfangreiche Januar-Update unterstreicht die anhaltend dynamische Bedrohungslage. Die Hälfte der geschlossenen Lücken sind Privilegienausweitungsschwachstellen – ein klarer Hinweis darauf, dass Angreifer darauf abzielen, einmal erlangten Zugriff zu vertiefen. Die betroffenen Produkte reichen vom Betriebssystemkern bis zu Office-Anwendungen und zeigen die breite Angriffsfläche, die Unternehmen schützen müssen.

Sicherheitsverantwortliche sollten eine risikobasierte Priorisierung vornehmen. Die aktiv ausgenutzte DWM-Lücke ist dringlicher, als ihr CVSS-Score vermuten lässt. Die kritischen RCE-Lücken in Office sind ebenfalls Top-Priorität, da sie ein häufiges Einfallstor für Phishing-Angriffe darstellen.

Was jetzt zu tun ist – und was 2026 noch kommt

Neben dem sofortigen Einspielen der Patches müssen IT-Administratoren langfristig planen. Das bevorstehende Auslaufen der Secure-Boot-Zertifikate Mitte 2026 erfordert proaktive Maßnahmen, um Betriebsunterbrechungen zu vermeiden. Microsoft hat bereits Anleitungen für die Bereitstellung der neuen Zertifikate veröffentlicht.

Zudem setzt der Konzern seine mehrstufige Initiative fort, um Windows-Domänencontroller gegen Kerberos-Schwachstellen abzuhärten. Die Januar-Updates sind Teil der ersten Phase; weitere Verschärfungen sind für April und Juli 2026 geplant.

Die Größe und Schwere des ersten Patch Tuesdays im Jahr ist eine kritische Erinnerung an alle Windows-Nutzer: Nur regelmäßige und prompte Updates bieten wirksamen Schutz gegen die stetig wachsende Bedrohung aus dem Netz.

PS: Wenn Sie E‑Mails und Office‑Daten bestmöglich schützen wollen, hilft der kostenlose Outlook‑Spezialkurs auch dabei, typische Konfigurationsfehler zu vermeiden, die Angreifern häufig den Einstieg erleichtern. Der Guide enthält leicht umsetzbare Maßnahmen für Anwender und Admins sowie Vorlagen für sicheres Backup und Wiederherstellung nach Zwischenfällen. Outlook‑Setup‑Guide jetzt sichern