Für CVE-2026-21643 dokumentierte das Unternehmen Defused Cyber Ausnutzungsversuche, die es seit dem 24. März 2026 beobachtet hat. Diese Erkenntnisse bildeten die Grundlage für die Aufnahme der Schwachstelle in den KEV-Katalog.
Bei CVE-2023-21529 hat Microsoft selbst die aktive Ausnutzung bekannt gemacht: Eine vom Konzern als Storm-1175 bezeichnete Bedrohungsgruppe setzt die Lücke ein, um Medusa-Ransomware auszuliefern. Microsoft veröffentlichte diese Einschätzung in der vergangenen Woche.
CVE-2012-1854 ist eine deutlich ältere Schwachstelle. Microsoft räumte in einem Advisory vom Juli 2012 ein, von „begrenzten, gezielten Angriffen" auf diese Lücke zu wissen. Details zur genauen Art der damaligen Angriffe sind nach wie vor nicht bekannt.
Zu den übrigen drei der insgesamt sechs neu aufgenommenen Schwachstellen gibt es bislang keine öffentlichen Berichte über eine Ausnutzung. Die FCEB-Behörden müssen die verfügbaren Fixes dennoch fristgerecht bis zum 27. April 2026 anwenden.
