Microsoft Outlook und Word: Sicherheitslücken ermöglichen Angreifern die Ausführung von Schadcode

Obwohl die CVSS-Vektoren einen lokalen Angriffsvektor (AV:L) anzeigen, klassifiziert Microsoft die Schwachstellen als Remote-Code-Execution. Dies liegt daran, dass ein entfernter Angreifer bösartige Inhalte über das Netzwerk liefern kann, beispielsweise per E-Mail. Die eigentliche Ausnutzung findet lokal statt, sobald Office diese Inhalte verarbeitet.

Alle drei Sicherheitslücken wurzeln in unsicheren Speicherbehandlungen innerhalb der Office-Dokumenten-Parsing-Pipeline. CVE-2026-45456 und CVE-2026-47635 betreffen Typkonfusionen. Dabei werden interne Datenstrukturen mit einem inkompatiblen oder falschen Typ zugriffen, wodurch die Typsicherheitsgarantien zur Laufzeit verletzt werden.

In der Praxis kann ein speziell gestaltetes Dokument Annahmen über das Objektlayout manipulieren. Die Word-Engine interpretiert daraufhin angreiferkontrollierte Daten als gültiges Objekt oder Zeiger. Sobald die Engine Operationen auf diesem falsch getippten Objekt ausführt, kann dies zu kontrollierter Speicherkorruption führen.

Sicherheitslage und Risiko

Angreifer nutzen dies aus, um beliebigen Code auszuführen, indem sie den Kontrollfluss übernehmen, etwa über Funktionszeiger oder Einträge in vtabellen. CVE-2026-45458 betrifft ein Use-After-Freepattern. In diesem Szenario gibt Word ein Speicherobjekt frei, behält jedoch einen hängenden Zeiger darauf.

Ein speziell gestaltetes Dokument kann dazu führen, dass die freigegebene Speicherregion neu zugewiesen wird, um Daten zu enthalten, die der Angreifer kontrolliert. Beim späteren Aufruf des veralteten Zeigers fließt diese kontrollierte Daten durch die Ausführung, was erneut die Möglichkeit zur Codeausführung eröffnet.

Ein wesentlicher operativer Aspekt für Verteidiger ist, dass Outlook Classic Word als Render-Engine für E-Mail-Inhalte verwendet, einschließlich im Vorschaubereich. Das bedeutet, dass eine speziell gestaltete E-Mail-Nachricht oder ein Anhang, der einen dieser Speicher-Korruptionspfade auslöst, Code ausführen kann, sobald die Nachricht gerendert wird.

Technik und Auswirkungen

Dies geschieht, ohne dass der Benutzer einen Anhang explizit öffnen muss. Aus Sicht der Kill-Chain ermöglicht dies einem entfernten Angreifer, eine einzige bewaffnete E-Mail an ein Ziel zu senden, auf das automatische Rendern oder die Vorschau im Outlook vertraut wird. Mit den Berechtigungen des betroffenen Benutzers kann beliebiger Code ausgeführt werden.

Da die Schwachstellen keine zusätzlichen Berechtigungen oder eine explizite Benutzerinteraktion über das normale Rendern hinaus erfordern, können erfolgreiche Angriffe mit Techniken zur Privilegien-Eskalation oder lateralen Bewegung verknüpft werden, um tiefer in die Umgebung vorzudringen.

Der betroffene Umfang umfasst Microsoft Office LTSC 2024 (sowohl 32-Bit als auch 64-Bit) sowie andere unterstützte Word- und Outlook-Builds, die dieselben Rendering-Komponenten verwenden.

Technik und Auswirkungen

Microsoft betont in seinen Leitlinien, dass Kunden in Umgebungen mit mehreren Office-SKUs alle anwendbaren Office-Sicherheitsupdates auf ihren Installationen anwenden müssen. Administratoren müssen sicherstellen, dass jede Produktlinie ihr entsprechendes Sicherheitspaket erhält.

Einige Mac-Office-Kanäle, wie Office LTSC für Mac 2021/2024 und Microsoft 365 für Mac, können ihre Patches möglicherweise leicht verzögert erhalten. Sie sind jedoch Teil derselben Abhilfemaßnahmen.

Aus defensiver Sicht bleibt das Patchen die primäre und nicht verhandelbare Minderung, da es sich um Kernprobleme auf Ebene der Engine handelt, die allein durch Konfigurationsänderungen nicht vollständig neutralisiert werden können. Organisationen können jedoch die Ausnutzbarkeit und den Blast-Radius durch mehrstufige Sicherheitskontrollen verringern.

Die Absicherung oder Einschränken der Vorschau-Leiste

Die Absicherung oder Einschränken der Vorschau-Leiste für nicht vertrauenswürdige Postfächer sowie die Erzwingung von „Protected View" für aus dem Internet stammende Dateien erhöht die Hürden für erfolgreiche Ausnutzungen und Maßnahmen nach einer Kompromittierung erheblich.

Durch den Einsatz (ASR)-Regeln zur Einschränkung der Fähigkeit, Kindprozesse zu starten, können Sicherheitsteams auf der Erkennungsseite auf anomal verlaufende Word- oder Outlook-Prozesse achten.

Dazu gehören ungewöhnliche Speicherzugriffsverletzungen, Abstürze beim Rendern bestimmter Nachrichten oder verdächtige Kindprozesse, die Anomalien können auf Ausnutzungsversuche oder eine erfolgreiche Codeausführung hinweisen.

Sicherheitslage und Risiko

SvyTech-Einordnung Die Schwachstellen betreffen fundamentale Speicherfehler in der Rendering-Engine, die eine direkte Codeausführung ohne Benutzerinteraktion erlauben. Dies stellt ein kritisches Risiko für Organisationen dar, die Outlook-Vorschau-Funktionen nutzen, da die Angriffsfläche bereits beim Laden einer E-Mail aktiviert ist.

Was Leser daraus mitnehmen Administratoren sollten die Sicherheitsupdates für Office LTSC 2024 und andere betroffene Builds umgehend installieren. Zudem ist es ratsam, die Vorschau-Funktion in Outlook für un vertrauenswürdige Quellen zu deaktivieren und ASR-Regeln zur Begrenzung, um das Risiko einer Ausnutzung zu minimieren.