Direkt zum Inhalt
Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Sicherheitslücke in MS Office von APT28 ausgenutzt

- Sicherheitshinweis

Das Landesamt für Verfassungsschutz Baden-Württemberg (LfV BW) warnt vor der Ausnutzung einer Schwachstelle in verschiedenen Microsoft-Office-Versionen durch die Cybergruppierung APT28. Microsoft stellt Sicherheitsupdates zur Verfügung und das CERT der Ukraine (CERT‑UA) liefert Kompromittierungsindikatoren (Indicators of Compromise: IoC) zur Prüfung von Systemen.
Landesamt für Verfassungsschutz BW

© LfV Baden-Württemberg

Updates und IoCs verfügbar

Das LfV BW veröffentlichte am 2. Februar 2026 eine Warnmeldung zur Sicherheitslücke CVE-2026-21509 (EUVD-2026-4666) in den folgenden Microsoft-Office-Versionen:

  • 2016
  • 2019
  • LTSC 2021
  • LTSC 2024
  • Microsoft 365 Apps for Enterprise

CVE-2026-21509 hat einen CVSS-Score von 7.8/10 und ermöglicht Angreifenden, Sicherheitsvorkehrungen zu umgehen.

Die Gruppierung APT28 nutze laut LfV BW die Schwachstelle über eine gezielte Kampagne aus, um Remote Code Execution (RCE) auf betroffenen Systemen herbeizuführen. Dafür schleuse die Gruppe manipulierte Word-Dateien in Systeme ein. Beim Öffnen dieser Köder-Dokumente werde eine WebDAV‑Verbindung zu einem Webserver eingerichtet, über die der maliziöse Code in die Systeme gebracht und ausgeführt werde.

Das Unternehmen Microsoft stellt Sicherheitsupdates bereit, die die Lücke schließen. Zudem veröffentlichte das CERT‑UA IoCs, mit denen Nutzende ihre Systeme auf eine Kompromittierung prüfen können.

Empfehlungen des LfV BW

  • Installieren Sie umgehend und je nach Konfiguration das für Ihre Microsoft-Office-Version passende Sicherheitsupdate. Die Verweise zu den Updates finden Sie in der unten verlinkten Warnmeldung von Microsoft.
  • Überwachen und blockieren Sie WebDAV‑Verbindungen zu unbekannten externen Hosts.
  • Prüfen Sie Ihre Systeme mit den vom CERT-UA bereitgestellten IoCs. Den Link dazu finden Sie unten.

 

Weitere Informationen