Auch das BSI warnt: Durch eine kritische Schwachstelle ist es möglich, dass eine via Outlook empfangene E-Mail mit einem gefährlichen OLE-Objekt bereits mit der Vorschau ausgeführt wird. Eine Nutzeraktion ist nicht nötig. Laut BSI sollen noch keine Attacken beobachtet worden sein. Microsoft hat per Patchday die Updates versendet, denn im Windows Remote System gibt es noch eine hochgefährliche Schwachstelle.
Im Rahmen seines monatlichen Patchdays hat Microsoft Details zu Schwachstellen veröffentlicht, die im Januar durch Sicherheitsupdates geschlossen werden können. Darin enthalten sind in der aktuellen Ausgabe auch Informationen zu eine kritische Sicherheitslücke, die einen CVSS-Wert 9.8 von 10 hat. Die Schwachstelle mit der Kennung CVE-2025-21298 betrifft die Windows- und Windows-Server-Produktlinie, bzw. die dort zum Einsatz kommende Technologie Windows Object Linking and Embedding (OLE), die das Einbetten und Verlinken von Dokumenten sowie anderen Objekten erlaubt. Windows OLE wird u.a. auch in Microsoft-Office-Produkten wie Outlook eingesetzt.
Outlook-Angriff bereits via Vorschau möglich
Auch das BSI warnt: Für einen erfolgreichen Angriff soll es nach Angaben von Microsoft ausreichend sein, wenn ein Nutzer in Microsoft Outlook eine speziell manipulierte E-Mail öffnet oder diese in der Voransicht angezeigt wird. Es ist somit keine aktive Nutzerinteraktion notwendig. Vielmehr ist das alleinige Betrachten in der Vorschau in Outlook ausreichend, um Code auf dem Client des Nutzers auszuführen. Die Bewertung nach dem Common Vulnerability Scoring System (CVSS, Version 3.1) ist daher mit 9.8 „kritisch“. Microsoft gibt an, bislang keine Ausnutzung von CVE-2025-21298 beobachtet zu haben.
Neben der beschriebenen Sicherheitslücke CVE-2025-21298 wurde eine weitere besonders schwerwiegende Schwachstelle (CVE-2025-21309, CVSS-Score: 8.1) im Windows Remote Desktop Service geschlossen, deren Ausnutzung Microsoft für eher wahrscheinlich hält. Patches für diese Schwachstelle stellt der Hersteller ebenfalls zur Verfügung.
159 Schwachstellen die der Januar-Patchday schließt
Weiterhin berichtet Microsoft bei drei Rechteausweitungs-Schwachstellen (CVE-2025-21333 [MS25c], CVE-2025-21334, CVE-2025-21335; CVSS-Score: 7.8), die das Erlangen von SYSTEM-Rechten erlauben, von bereits beobachteten Angriffsversuchen. Derartige Schwachstellen werden von Angreifenden häufig genutzt, um sich im Rahmen eines Angriffs Persistenz im System zu verschaffen. Eine vollständige Übersicht über alle geschlossenen Schwachstellen im Januar Patchday kann unter gefunden werden, darunter befinden sich weitere Verwundbarkeiten in Microsoft-Office-Produkten, die eine Codeausführung ermöglichen und deren Ausnutzung Microsoft für eher wahrscheinlich hält.
- 3 kritische Schwachstellen
- 97 hochgefährliche Schwachstellen
- 58 mittelgefährliche Schwachstellen
- 1 niedrig gefährliche Schwachstelle
Unternehmen und auch privaten Nutzer ist das sofortige Update empfohlen, auch wenn es noch keine direkten Angriffe geben soll. Allerdings gibt es einige Experten, die bald mit einigen Angriffen rechnen.
Mehr bei Microsoft.com
Über Microsoft Deutschland Die Microsoft Deutschland GmbH wurde 1983 als deutsche Niederlassung der Microsoft Corporation (Redmond, U.S.A.) gegründet. Microsoft hat es sich zur Aufgabe gemacht, jede Person und jedes Unternehmen auf der Welt zu befähigen, mehr zu erreichen. Diese Herausforderung kann nur gemeinsam gemeistert werden, weshalb Diversität und Inklusion seit den Anfängen fest in der Unternehmenskultur verankert sind. Als weltweit führender Hersteller von produktiven Softwarelösungen und modernen Services im Zeitalter von intelligent Cloud und intelligent Edge, sowie als Entwickler innovativer Hardware, versteht sich Microsoft als Partner seiner Kunden, um diesen zu helfen, von der digitalen Transformation zu profitieren. Sicherheit und Datenschutz haben bei der Entwicklung von Lösungen oberste Priorität. Als weltweit größter Beitragsgeber treibt Microsoft die Open-Source-Technologie über seine führende Entwicklerplattform GitHub voran. Mit LinkedIn, dem größten Karriere-Netzwerk, fördert Microsoft die berufliche Vernetzung weltweit.