SchwachstellenHackerangriffeDatenschutz

Kritische Outlook-Lücke CVE-2026-40361: Microsoft warnt vor Zero-Click-Angriff auf Unternehmen

Von CyberDeutsch Redaktion
Kritische Outlook-Lücke CVE-2026-40361: Microsoft warnt vor Zero-Click-Angriff auf Unternehmen
Zusammenfassung

Microsoft hat eine kritische Sicherheitslücke in Outlook gepatcht, die Unternehmen weltweit bedroht. Die als CVE-2026-40361 bezeichnete Schwachstelle ist ein Zero-Click-Exploit, der es Angreifern ermöglicht, per E-Mail Fernzugriff auf Computer zu erlangen, ohne dass Nutzer auf Links oder Anhänge klicken müssen. Die Lücke wurde von Sicherheitsforscher Haifei Li entdeckt und betrifft eine DLL-Datei, die sowohl von Word als auch von Outlook verwendet wird. Besonders bemerkenswert ist die Ähnlichkeit zu einer Schwachstelle von vor zehn Jahren, die als „Enterprise Killer" bekannt war. Da die Sicherheitslücke in Outlooks E-Mail-Rendering-Engine sitzt, wird sie automatisch beim Lesen oder Vorschau einer E-Mail ausgelöst. Für deutsche Unternehmen und Behörden stellt dies eine ernsthafte Bedrohung dar, da Führungskräfte gezielt kompromittiert werden könnten. Microsoft hat die Sicherheitslücke als „Exploitation more likely" eingestuft. Eine sofortige Installation des entsprechenden Patches ist dringend erforderlich, zumal Sicherheitsexperten davon abraten, die Patch-Installation zu verzögern.

Die neue Outlook-Schwachstelle CVE-2026-40361 erinnert Sicherheitsexperten an ein längst vergessenes Trauma aus der Unternehmens-IT: 2015 entdeckte der Sicherheitsforscher Haifei Li eine ähnliche Lücke, die damals als „Enterprise Killer” gefürchtet war. Unter der Bezeichnung CVE-2015-6172 oder BadWinmail konnte sie Geschäftsführer und CFOs mit einfachen E-Mails kompromittieren – ohne dass diese verdächtige Links anklicken mussten. Nun zeigt sich: Die Geschichte wiederholt sich.

Die aktuelle Schwachstelle funktioniert nach demselben Prinzip. Es handelt sich um einen Use-After-Free-Bug in Outlooks E-Mail-Rendering-Engine. Sobald ein Nutzer eine speziell präparierte E-Mail liest oder eine Vorschau anzeigt, wird der Exploit automatisch ausgelöst. “Ihr wollt das auf jeden Fall schneller als später patchen,” warnte Li in einem Post auf X. “Die Gefahr solcher Zero-Click-Bugs in Outlook liegt darin, dass keine Nutzerinteraktion erforderlich ist. Der Angriff umgeht Enterprise-Firewalls komplett und landet direkt im Postfach.”

Microsoft hat die Lücke als Teil des Patch Tuesday im Januar geschlossen – insgesamt 137 Schwachstellen wurden behoben. Die Entdeckung geht auf Haifei Li zurück, der das Zero-Day-Erkennungssystem Expmon entwickelt hat.

Für deutsche Unternehmen ergibt sich ein erhebliches Compliance-Problem: E-Mail ist nach wie vor der kritischste Kommunikationskanal. Eine Schwachstelle dieser Kategorie könnte Millionen-Bußgelder gemäß DSGVO nach sich ziehen, sollte es zu Datenverlust oder Systemkompromittierung kommen. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) wird diese Lücke zweifellos als erhebliches Risiko einstufen.

Li betont allerdings, dass er bislang nur einen Proof-of-Concept entwickelt hat – keinen funktionsfähigen Exploit, der tatsächlich Code ausführt. Trotzdem warnt er: “Man sollte die Kreativität von Angreifern nicht unterschätzen.” Es ist nur eine Frage der Zeit, bis funktionierende Exploits im Umlauf sind.

Als Übergangslösung empfiehlt Li, Outlook auf das Rendering von reinem Textformat einzustellen – eine unbequeme, aber wirksame Maßnahme. Mittelfristig ist das Patch obligatorisch. Für IT-Abteilungen gilt: Priorisierung ist jetzt erforderlich.

Ähnliche Artikel