Microsoft-Patchday: Gefährliche Excel-Lücke ermöglicht Datenklau mit Copilot
Zum März-Patchday hat Microsoft über all seine Produkte hinweg wieder zahlreiche Sicherheitslücken geschlossen. Besonders auffällig ist dabei eine XSS-Lücke (Cross-Site-Scripting) im Office-Programm Excel, anhand derer Angreifer Microsofts KI-Agenten Copilot dazu verleiten können, Daten auszuleiten. Immerhin: Zeichen einer aktiven Ausnutzung gibt es diesen Monat nicht.
Bei der genannten Excel-Lücke handelt es sich um CVE-2026-26144(öffnet im neuen Fenster) . Der Sicherheitsexperte Dustin Childs von der Zero Day Initiative (ZDI) von Trend Micro beschreibt die Schwachstelle in einem Blogbeitrag(öffnet im neuen Fenster) als "faszinierend" und geht davon aus, dass entsprechende Angriffsszenarien künftig häufiger auftreten werden.
Laut Microsofts Beschreibung basiert CVE-2026-26144 auf einer "unsachgemäßen Neutralisierung von Eingaben während der Generierung von Webseiten" . Da für die Ausnutzung keinerlei Nutzerinteraktion benötigt wird, spricht der Konzern von einem Zero-Click-Angriff. Laut CVSS-Einstufung (7,5) ist der Schweregrad hoch, Microsoft schätzt das Risiko aber dennoch als "kritisch" ein.
Auch andere Microsoft-Produkte angreifbar
Wie der Angriff über CVE-2026-26144 im Detail funktioniert, schildert Microsoft nicht. Entsprechende Attacken sollen jedoch aus der Ferne möglich sein und eine geringe Angriffskomplexität aufweisen. Als anfällig gelten die 32- und 64-Bit-Varianten von Excel aus Microsoft 365 für Unternehmen. Wer diese im Einsatz hat, sollte also zügig patchen.
Insgesamt schloss Microsoft zum März-Patchday(öffnet im neuen Fenster) 93 Sicherheitslücken. Die Patches für 83 davon entwickelte der Konzern selbst, weitere zehn wurden aus Drittanbieterprojekten wie Chromium übernommen. Acht Lücken stuft Microsoft als kritisch ein, darunter auch zwei(öffnet im neuen Fenster) weitere Office-Lücken(öffnet im neuen Fenster) , die ohne jegliche Nutzerinteraktion eine Schadcodeausführung aus der Ferne ermöglichen.
Erfreulich ist, dass es in diesem Monat bei keiner der 93 Sicherheitslücken Hinweise auf eine aktive Ausnutzung gibt. Im Gegensatz dazu hatte Microsoft zum Februar-Patchday gleich sechs Zero-Day-Lücken geschlossen, davon vier im Betriebssystem Windows. Dennoch sollten auch die März-Updates nicht unterschätzt und die bereitgestellten Patches zeitnah installiert werden.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.