CVE-2026-40364: Word RCE über Preview Pane jetzt aktiv ausgenutzt

HORROR-MELDUNG für jeden Office-Nutzer! Microsoft Word kann gerade ohne einen einzigen Klick gekapert werden — und die US-Cybersecurity-Behörde CISA hat den Bug am Mittwoch in die SOFORT-PATCH-Liste geschoben. Die Lücke heißt CVE-2026-40364 und sie nistet im Vorschau-Fenster des Windows Explorers. Markieren reicht. Klicken nicht nötig.

So gefährlich ist der Bug

Word hat einen Use-after-free-Bug — eine Speicher-Fehlbenutzung, die Angreifer mit einer präparierten DOCX-Datei triggern können. Sobald du die Datei im Explorer markierst, lädt die Vorschau den Inhalt und feuert den Exploit. Microsoft hat den CVSS-Wert auf kritisch gesetzt. CISA stuft die Ausnutzungswahrscheinlichkeit als „more likely“ — und wenige Stunden nach Veröffentlichung wurden bereits aktive Angriffe gemeldet.

UNGLAUBLICH: Vier Word-RCEs an einem Tag

Microsofts Mai-Patchday hat 137 CVEs rausgepfeffert — davon allein vier RCE-Lücken in Word. CVE-2026-40364 ist die brisanteste, weil sie über die Vorschau einsetzbar ist. Zwei der vier sind als „more likely exploited“ markiert. Erstmals seit Juni 2024 aber kein Zero-Day im Patchday — heißt: Reaktive Hektik, nicht akute Verteidigung.

So patchst du SOFORT

Öffne Windows Update und ziehe die Mai-2026-Updates für dein Office. Wer Microsoft 365 Apps nutzt: Klick auf Datei → Konto → Update-Optionen → Jetzt aktualisieren. Für Server-Admins gilt: SharePoint und Office Online Server müssen separat in den Patch-Zyklus. Wer Patchen nicht sofort kann, deaktiviert die Vorschau im Explorer und blockt DOCX-Anhänge am Mail-Gateway.

EXTRA-TIPP: Vorschau abschalten

So machst du den Explorer dicht — Datei-Explorer öffnen → Tab „Ansicht“ → Vorschau-Fenster ausblenden. Zusätzlich in Outlook unter Datei → Optionen → Trust Center → Trust Center-Einstellungen → Anhangsverarbeitung → Vorschau für Anhänge deaktivieren. Dauert 30 Sekunden, rettet dich vor dem Klick-losen Angriff.

FAZIT: PATCHEN IST PFLICHT

Wenn CISA den KEV-Hammer auspackt, ist die Lücke bereits unterwegs. Wer einen Windows-Rechner hat und Office einsetzt, MUSS die Mai-Updates aufspielen. Sonst wandert deine Datei-Datei-Datei ins Dark Web — und der Angreifer hat dafür nur einen DOCX-Download gebraucht.

Häufige Fragen

Welche Office-Versionen sind betroffen?

Office 2019, Office LTSC 2021, Microsoft 365 Apps for Enterprise, SharePoint Server 2019 und 2026, sowie der Office Online Server. Auch ältere Versionen erhalten den Fix.

Reicht der Antivirus?

Allein nicht. EDR-Lösungen können den Exploit-Versuch zwar erkennen, der Bug sitzt aber im Word-Parser selbst. Patch ist die einzige saubere Abhilfe.

Was tun bei mehreren Rechnern?

WSUS, Intune oder SCCM nutzen und priorisiert ausrollen. Vorab Vorschau-Fenster über Group Policy global deaktivieren.

Sind LibreOffice und OnlyOffice betroffen?

Nein, der Bug betrifft ausschließlich Microsoft Words Datei-Parser und die Windows-Vorschau-Pipeline.

Quellen:

WORD-ALARM! Vorschau-Fenster reisst JETZT JEDEN Windows-PC auf — CISA peitscht die kritische Lücke in die EXPLOIT-Liste