Am 10. Februar 2026 hat Microsoft seinen monatlichen Patch Tuesday veröffentlicht – und diesmal ist er ein Weckruf. Über 50 Schwachstellen wurden behoben, darunter sechs Zero-Days, die bereits aktiv ausgenutzt wurden. Fünf der Schwachstellen sind als kritisch eingestuft, der Rest als wichtig. Betroffen sind viele Windows Produkte wie das Betriebssystem selbst, Office, Azure, und weitere Produkte.
Klingt nach einem normalen Patch-Monat? Ist es nicht. Die Kombination aus Angriffstypen und betroffenen Komponenten zeichnet ein beunruhigendes Bild davon, wo Angreifer heute ihre Hebel ansetzen.
Die sechs Zero-Days im Detail
Die aktiv ausgenutzten Schwachstellen zeigen, wie vielfältig die Angriffslandschaft geworden ist.
CVE-2026-21510 betrifft Windows SmartScreen und die Windows Shell. Angreifer können Sicherheitswarnungen umgehen, indem sie Benutzer dazu bringen, einen bösartigen Link oder eine manipulierte Verknüpfungsdatei zu öffnen. Das Perfide: SmartScreen ist eigentlich dazu da, genau solche Angriffe zu verhindern. Wenn die Schutzmechanismen selbst kompromittiert werden, entsteht ein falsches Sicherheitsgefühl.
CVE-2026-21514 erlaubt das Umgehen von OLE-Schutzmaßnahmen in Microsoft 365 und Office. Der Angriff erfordert, dass ein Benutzer eine manipulierte Office-Datei öffnet. OLE – Object Linking and Embedding – ist eine Technologie aus den 90ern, die sich hartnäckig als Angriffsvektor hält. Die Geschichte wiederholt sich.
CVE-2026-21513 ist eine Internet-Explorer-Schwachstelle. Ja, Internet Explorer. Obwohl der Browser offiziell eingestellt ist, bleiben seine Komponenten in Windows aktiv und angreifbar. Ein Angreifer kann Sicherheitskontrollen umgehen und möglicherweise Code ausführen, indem er das Opfer dazu bringt, eine bösartige HTML- oder LNK-Datei zu öffnen.
CVE-2026-21519 ist eine Privilege-Escalation-Schwachstelle im Windows Desktop Window Manager. Ein lokaler Angreifer kann damit seine Rechte erhöhen. Microsoft hat diese Schwachstelle selbst entdeckt – ein Hinweis darauf, dass auch interne Security-Teams kontinuierlich nach Lücken suchen.
CVE-2026-21533 betrifft Windows Remote Desktop Services und ermöglicht ebenfalls Privilege Escalation – bis zum System-Level. CrowdStrike hat diese Schwachstelle entdeckt und beschreibt den Exploit so: Ein manipulierter Service-Konfigurationsschlüssel wird durch einen Angreifer-kontrollierten Schlüssel ersetzt, was die Erstellung eines neuen Admin-Kontos ermöglicht. Diese Schwachstelle ist besonders kritisch in Umgebungen, in denen RDP exponiert ist.
CVE-2026-21525 ist eine Denial-of-Service-Schwachstelle im Windows Remote Access Connection Manager. Sie wurde von Acros Security entdeckt und ermöglicht Angreifern, den Dienst zum Absturz zu bringen.
Die US-Behörde CISA hat alle sechs Zero-Days in ihren Known Exploited Vulnerabilities Catalog (KEV) aufgenommen – ein klares Signal an alle Organisationen, dass sofortiges Handeln erforderlich ist.
Die größeren Muster
Was lernen wir aus diesem Patch Tuesday?
Erstens: Die Angriffsfläche wächst. Nicht nur Windows und Office sind betroffen, sondern auch Cloud-Dienste, Entwicklertools, Security-Produkte. Je mehr Technologie wir einsetzen, desto mehr potenzielle Schwachstellen entstehen.
Zweitens: Legacy bleibt ein Problem. Der Internet Explorer, seine Komponenten leben weiter. OLE stammt aus einer anderen Ära, ist aber immer noch angreifbar. Die technische Schuld der Vergangenheit holt uns ein.
Drittens: Privilege Escalation ist der Königsweg. Mehrere der Zero-Days zielen darauf ab, von einem niedrigen Zugangslevel zu höheren Rechten zu gelangen. Angreifer denken in Ketten. Der initiale Zugang ist nur der erste Schritt, die Privilege Escalation ermöglicht den eigentlichen Schaden.
Viertens: Security-Bypass-Schwachstellen sind besonders gefährlich. Wenn SmartScreen umgangen werden kann, wenn Defender-Komponenten angreifbar sind, dann werden die Kontrollmechanismen selbst zum Einfallstor. Das unterstreicht, warum Defense-in-Depth so wichtig ist. Kein einzelner Kontrollpunkt darf für sich alleine stehen.
Was jetzt zu tun ist
Die unmittelbare Handlung ist klar: Patches einspielen. Jetzt. Die sechs Zero-Days werden aktiv ausgenutzt – jeder Tag ohne Patch ist ein Tag mit erhöhtem Risiko.
Aber es geht um mehr als diesen einen Patch-Zyklus. Ein paar Überlegungen.
Priorisierung ist entscheidend. Nicht jede Organisation muss jede Schwachstelle mit gleicher Dringlichkeit behandeln. Wenn du keine Remote Desktop Services exponiert hast, ist CVE-2026-21533 weniger dringend für dich. Wenn deine Entwickler GitHub Copilot nutzen, rücken die Copilot-Schwachstellen nach oben. Kontextbezogene Priorisierung ist besser als blindes Patchen nach CVSS-Score.
Exploit Prediction Scoring System (EPSS) kann helfen. EPSS schätzt die Wahrscheinlichkeit, dass eine Schwachstelle in den nächsten 30 Tagen ausgenutzt wird. Für Schwachstellen, die bereits aktiv ausgenutzt werden, ist das natürlich akademisch – aber für den Rest des Patch-Batches kann EPSS die Priorisierung unterstützen.
Patching allein ist nicht genug. Was ist mit den Systemen, die du nicht patchen kannst? Legacy-Systeme, OT-Umgebungen, Systeme unter Wartungsvertrag? Hier braucht es kompensierende Kontrollen: Netzwerksegmentierung, erhöhtes Monitoring, Einschränkung von Benutzerrechten.
Die Kommunikation nach oben ist wichtig. Sechs aktiv ausgenutzte Zero-Days in einem Monat! Das ist eine Nachricht, die zwingend auf den Schreibtisch der Geschäftsführung gehört. Nicht um Panik zu verbreiten, sondern um zu verdeutlichen, dass die Bedrohungslage real ist und Ressourcen für zeitnahes Patching keine optionale Investition darstellt.
Ein Blick auf die Trends
Microsoft Patch Tuesdays sind wie ein monatlicher Puls der Bedrohungslandschaft. Und der Puls von Februar 2026 zeigt: Es wird nicht einfacher.
Die Konvergenz von Cloud, Entwicklertools und klassischen Endpoint-Schwachstellen zeigt, dass Angreifer überall suchen. Die Tatsache, dass Security-Tools selbst angreifbar sind, unterstreicht, dass kein Werkzeug unfehlbar ist. Und die Hartnäckigkeit von Legacy-Komponenten als Angriffsvektor ist eine Erinnerung daran, dass technische Schulden Sicherheitsschulden sind.
Patch Tuesday wird nicht aufhören. Die Frage ist, ob unsere Prozesse schnell genug sind, um Schritt zu halten.
—
Quellen:
– SecurityWeek: „6 Actively Exploited Zero-Days Patched by Microsoft With February 2026 Updates“
– Cyber Security News: „Microsoft Patch Tuesday February 2026″
– BleepingComputer: „Microsoft Patch Tuesday February 2026″
– The Hacker News: „Patch Tuesday February 2026″