Zero-Click-Lücke in Outlook: Angreifer können Systeme per E-Mail kompromittieren
Eine zum Mai-Patchday geschlossene Sicherheitslücke in Microsoft Office erweist sich als besonders gefährlich. Microsoft selbst spricht in der zugehörigen Sicherheitsmeldung(öffnet im neuen Fenster) lediglich von einem Use-after-free-Bug in Microsoft Word. Nach Angaben des Entdeckers reicht das Problem aber noch weiter und ermöglicht insbesondere in Verbindung mit Outlook ausgeklügelte Schadcode-Attacken.
Bei der besagten Sicherheitslücke handelt es sich um CVE-2026-40361(öffnet im neuen Fenster). Microsoft schreibt ihr einen kritischen Schweregrad zu, wenngleich der CVSS-Wert von 8,4 nur auf einen hohen Schweregrad hindeutet. Angreifer können die Lücke demnach ausnutzen, um auf einem anfälligen System ohne jegliche Nutzerinteraktion Schadcode zur Ausführung zu bringen.
Als Entdecker nennt Microsoft den Sicherheitsforscher Haifei Li, der schon häufiger Schwachstellen in Microsoft Office entdeckte. In einem X-Beitrag(öffnet im neuen Fenster) geht Li näher auf CVE-2026-40361 ein. Dort spricht er von einer "Zero-Click-Lücke in Outlook". Die Ursache soll allerdings in der DLL-Datei wwlib.dll liegen, die sowohl von Outlook als auch von Word verwendet wird. Word ist also auch betroffen, bei Outlook scheint die Lücke aber gefährlicher zu sein.
Systeme per E-Mail kompromittierbar
Laut Li muss eine Zielperson für eine erfolgreiche Ausnutzung der Sicherheitslücke lediglich eine speziell gestaltete E-Mail in Outlook öffnen. Es reiche allerdings bereits die Darstellung in der Vorschauansicht. "Ein Klicken auf Links oder Anhänge ist nicht erforderlich", betont der Forscher. Die Ursache dafür sei ein Fehler in der E-Mail-Rendering-Engine von Outlook.
Li vergleicht CVE-2026-40361 in seinem Beitrag mit einer Badwinmail genannten Lücke, die er schon vor zehn Jahren aufgedeckt hatte(öffnet im neuen Fenster). Der Angriffsvektor soll in beiden Fällen identisch sein. "Im Grunde könnte jeder einen CEO oder CFO kompromittieren, indem er einfach eine E-Mail sendet", so der Forscher.
Firewalls ließen sich auf diesem Wege mühelos umgehen und die Bedrohung lande direkt im Posteingang. "Beachten Sie außerdem, dass Outlook (Classic) keine Anwendungs-Sandbox besitzt, was diesen Angriffsvektor noch gefährlicher macht", erklärte Li weiter. "Sie wollen dies mit Sicherheit lieber früher als später patchen."
Patches und Workaround verfügbar
Patches stehen seit dem 12. Mai für alle Office-Versionen ab 2016 zur Verfügung. E-Mails von Outlook ausschließlich im Plain-Text-Format darstellen zu lassen, soll laut Li aber ebenfalls vor der Ausnutzung von CVE-2026-40361 schützen. Hinweise auf eine aktive Ausnutzung gibt es bisher wohl nicht. Microsoft hält ein Aufkommen entsprechender Attacken aber für "eher wahrscheinlich".
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.