Microsofts März‑Patch‑Cycle hat erneut gezeigt: Die Verbindung von Office‑Software, Azure‑Clouddiensten und agentischen KI‑Komponenten schafft neue, teils überlappende Angriffsflächen — und bringt zugleich komplexe Patch‑ und Mitigationsaufgaben für IT‑Teams. Die Kurzanalyse von BornCity fasst die wichtigsten Befunde zusammen und macht deutlich, dass Excel‑ und Office‑Fehler nicht mehr nur lokale Desktop‑Probleme sind, sondern sich in cloud‑verbundene Agentenszenarien hineinfransen. erblick
Microsoft veröffentlichte seine März‑Sicherheitsupdates im Rahmen des regulären Patch‑Tuesdays und schloss dabei dutzende Schwachstellen in Windows, Office, Azure‑Diensten und KI‑Komponenten. Mehrere Einträge tragen die Markierung „Critical“ oder „Important“ und betreffen sowohl klassische Client‑Angriffsvektoren (Office/Excel) als auch moderne Cloud‑Infrastrukturen wie Azure Arc und die
MCP (Model Context Protocol)‑Infrastruktur, die für agentische KI‑Workflows genutzt wird. Die Bandbreite reicht von lokalen Privilege‑Escalation‑Fehlern bis zu Server‑Side‑Request‑Forgery (SSRF)‑Problemen, die in Cloud‑Kontexten besonders schädlich sein können.
Azure MCP‑S‑26118 — was ist passiert?
Technische Zusammenfassung
CVE‑2026‑26118 betrifft die
Azure MCP Server Tools und wird als SSRF‑basiertes Elevation‑of‑Privilege‑Problem beschrieben. Die Schwachstelle erlaubt es einem authentifizierten Angreifer, manipulierte Eingaben an einen anfälligen MCP‑Server zu schicken und dadurch verwaltete Identitäts‑Tokens so zu nutzen, dass Berechtigungen erweitert werden können. Die Schwachstelle erhielt eine hohe Basisbewertung (CVSS 3.1 base score 8.8) und wurde am 10. März 2026 veröffentlicht bzw. gepatcht.
Warum ist das relevant für Agenten‑KI?
Das Model Context Protocol (MCP) ist dafür gedacht, LLMs eine standardisierte Schnittstelle zu externen Datenquellen und Tools zu bieten. Wird diese Schicht kompromittiert, verlieren Agenten ihre Vertrauensanker: Ein manipuliertes MCP‑Backend kann Anfragen umlenken, Datenlecks auslösen oder Tokens weiterreichen, die dem Angreifer erhöhte Rechte in Azure gewähren. In Umgebungen, in denen Copilot‑Agenten oder andere automatisierte Arbeitsabläufe LLMs mit hohem Vertrauensniveau ausstatten, kann ein SSRF‑Angriff folgenschwere Kettenreaktionen auslösen. Diese systemische Tragweite unterscheidet MCP‑Fehler von klassischen Einzelgeräte‑Vulnerabilities.
Konkrete Empfehlungen
- Patchen: Installieren Sie das März‑Update für die Azure MCP Server Tools sofort in allen betroffenen Umgebungen.
- Authentifizierungs‑Härtung: Beschränken Sie, wo immer möglich, Zugriff auf MCP‑Endpoints auf dedizierte VNet‑Segmente und setzen Sie strenge Netznutzungsregeln (NSGs, private Endpoints).
- Token‑Rotation & Least Privilege: Stellen Sie sicher, dass verwaltete Identitäten (Managed Identities) nur minimale Rechte haben und planen Sie Token‑Rotation nach erfolgreichen Patches.
- Monitoring & HUNT: Überwachen Sie ungewöhnliche Token‑Verwendung, Anomalien in Audit‑Logs und MCP‑Endpoint‑Traffic. Führen Sie gezielte Hunt‑Queries nach lateral movement und ungewöhnlichen Service‑Token‑Anforderungen aus.
Azure Arc: CVE‑2026‑26117 — lokale Rechteausweitung mit Cloud‑Identitätsrisiko
Was die Forscher berichteten
Die Sicherheitsfirma Cymulate hat CVE‑2026‑26117 öffentlich beschrieben: Es handelt sich um eine
Elevation‑of‑Privilege‑Schwachstelle in Azure Arc‑Agenten unter Windows, die lokale Rechteausweitung erlaubt und darüber hinaus die Übernahme der Cloud‑Identität eines Rechners ermöglicht. Konkret können Angreifer mit niedrigen lokalen Rechten auf einem Arc‑angeschlossenen Host sich Rechte eskalieren und anschließend den Arc‑Identitätskontext missbrauchen, um in Azure Ressourcen zu manipulieren oder sich lateral zu bewegen. Cymulate empfiehlt ein sofortiges Update des ARC‑Agent‑Services (z. B. auf Version 1.61), das am Patch‑Tag bereitgestellt wurde.
Gefahrenprofil
Die Kombination aus
lokaler Kompromittierung und
Cloud‑Identitätsübernahme macht diese Schwachstelle besonders gefährlich für hybrid betriebene Serverlandschaften. Ein Angreifer braucht initial nur geringe lokale Rechte, kann aber anschließend mit dem gestohlenen Arc‑Kontext Aktionen in Azure durchführen — etwa Rollen erwerben, Key‑Vault‑Zugriffe ausnützen oder Policies manipulieren. Das macht die Lücke relevant für On‑Prem‑Server mit Cloud‑Verbindungen, Backup‑Server, Virtualisierungs‑Hosts und DevOps‑Maschinen.
Handlungsempfehlungen
- Sofortupdate aller Arc‑Agenten auf die gepatchte Version.
- Least Privilege für lokale Konten und Service‑Konten erzwingen.
- Auditieren: Überprüfen Sie Aktivitäten von Arc‑Identitäten in Azure (Sign‑ins, Resource‑Actions).
- Emergency‑Hunt: Suchen Sie nach Anzeichen für Missbrauch des Arc‑Identitätskontexts (neue Rollenbindung, Anomalien in Anmelde‑/Token‑Logs).
Microsoft Office & Excel: gleich mehrere kritische Befunde
CVE‑2026‑26110 und CVE‑2026‑26113 — Office Remote Code Execution
Microsoft klassifizierte CVE‑2026‑26110 und CVE‑2026‑26113 als
kritische Remote Code Execution‑Fehler in Microsoft Office (CVSS‑Werte in der Hoch‑Kategorie, Berichte listen 8.4 als Richtwert). Beide Schwachstellen können ausgenutzt werden, wenn ein Opfer ein bösartiges Dokument öffnet; Microsoft nennt explizit den
Vorschaubereich (Preview‑Pane) als möglichen Angriffsvektor. Mehrere Sicherheitsanalysen betonen, dass die Bezeichnung „Remote“ sich auf den Ursprung des Angreifers bezieht, nicht notwendigerweise auf einen Netzwerk‑Exploit ohne Nutzerinteraktion.
CVE‑2026‑26109 — Excel Out‑of‑Bounds Read mit lokaler Codeausführung
CVE‑2026‑26109 ist eine
Out‑of‑bounds‑Read‑Schwachstelle in Excel, die in bestimmten Versionen zu lokaler Codeausführung führen kann. Die National Vulnerability Database (NVD) listet die Schwachstelle und verweist auf Microsofts Update‑Guide; Berichte zufolge war zum Zeitpunkt der Veröffentlichung kein breiter Exploit‑Missbrauch bekannt, die Lücke bleibt aber ernstzunehmend, weil sie direkt lokale Übernahmepfade bietet.
CVE‑2026‑21509 — weiterhin aktiv ausgenutzt
Die ältere, aber weiter bedeutende Schwachstelle
CVE‑2026‑21509 (Office: Reliance on untrusted inputs in a security decision) wurde von Sicherheitsforschern (z. B. Fidelis Security) offenbart; sie erlaubt Angreifern, integrierte Schutzmechanismen zu umgehen, wenn ein Benutzer ein bösartiges Dokument öffnet. Microsoft veröffentlichte bereits Ende Januar ein Notfall‑Update, da aktive Ausnutzung beobachtet wurde. Unternehmen sollten prüfen, ob diese Vorfälle vollständig behoben sind und entsprechenden Indikatoren‑of‑Compromise (IoCs) nachgehen.
Was Admins jetzt tun sollten (Office/Email/Endpoints)
- Patch‑Geschwindigkeit erhöhen: Priorisieren Sie Office‑ und Excel‑Patches in Ihrem Change‑Management‑Zyklus.
- Preview‑Pane deaktivieren: Schalten Sie Vorschau‑Funktionen in E‑Mail‑Clients und Explorer aus, bis Patches flächig verteilt sind.
- Defender/EDR‑Regeln: Aktivieren Sie erweiterte Regeln für Office‑Dokumenten‑Analysen, entziehen Sie Makro‑Ausführungsrechte für nicht vertrauenswürdige Anwender.
- E‑Mail‑Härtung: Blockieren Sie gefährliche Dateitypen, ergänzen Sie Sandboxing für eingehende Anhänge.
- User Awareness: Informieren Sie über Social‑Engineering‑Risiken, obwohl viele dieser Schwachstellen auch „zero‑click“‑Szenarien über die Vorschau ermöglichen.
Copilot, Sidebar‑Links und Copilot Health — neue Governance‑Probleme
Sidebar‑Verhalten von Copilot / Edge
In mehreren Community‑Berichten und Anmerkungen wurde beobachtet, dass nach einem Copilot‑Update klickbare Links in manchen Apps (z. B. Outlook) in der
Edge‑Seitenleiste geöffnet werden, selbst wenn Edge nicht als Standardbrowser gesetzt ist. Das Verhalten umgeht damit systemweite Standardbrowser‑Präferenzen und lässt Betroffenen oft keine Opt‑out‑Möglichkeit. Diese Beobachtung ist aktuell eher community‑basiert und sollte als Indikator für ein mögliches Policy‑/Design‑Problem gewertet werden — Microsofts Edge‑Policies bieten allerdings Mechanismen (z. B. CopilotPageContext, Sidebar‑Allow‑Lists), die Admins nutzen können, um Kontexte zu beschränken.
Diese Meldungen sind teils anekdotisch; prüfen Sie Ihre eigenen Telemetriedaten, bevor Sie weitreichende Konfigurationsänderungen vornehmen.
Copilot Health: warum Gesundheits‑AI besondere Risiken trägt
Microsoft kündigte für den US‑Markt das Angebot
Copilot Health an, das Nutzern erlaubt, medizinische Daten, Laborwerte und Wearable‑Daten in einer sicheren Umgebung analysieren zu lassen. Während das Produkt klinische Einsichten verspricht, erhöht jede Funktion, die Gesundheitsdaten mit generativer KI kombiniert, das Risiko von Fehlinterpretationen, Datenexfiltration und Datenschutzverletzungen. Medienberichterstattung betont, dass der Dienst sehr vorsichtig gelauncht wird (z. B. beschränkte Verfügbarkeit, Verschlüsselung), trotzdem besteht ein erhebliches Governance‑Problem für Unternehmen, die Mitarbeiter‑ oder Patientendaten in solchen Diensten nutzen wollen.
Praktische Absicherungsmaßnahmen für Organisationen
- Policy‑Regeln: Definieren Sie klare Richtlinien, ob und wie Mitarbeiter Gesundheitsdaten in KI‑Diensten verwenden dürfen.
- Datenminimierung: Vermeiden Sie das Hochladen von vollständigen EHR‑Sätzen in generative KI‑Dienste; nutzen Sie synthetische oder pseudonymisierte Daten für Tests.
- Governance & Approval: Genehmigen Sie Produktnutzung zentral (Daten‑Schutzbeauftragter, Legal, Security).
- Monitoring: Überwachen Sie Datentransfers zu externen KI‑Diensten und prüfen Sie Zugriffskontrollen sowie Audit Trails.
Risikoabschätzung: Was diese Vorfälle gemeinsam haben
- Vertrauensketten sind das neue Ziel: Angriffe zielen mehr und mehr auf die Stelle, an der Identität, Token und Integrationslogik zusammenlaufen — beispielhaft MCP‑Server und Azure Arc.
- Hybrid‑Komplexität verschärft Impact: Lücken, die lokal beginnen (LPE, OOB‑Reads), können in Cloud‑Kontexte eskalieren und dort deutlich größere Auswirkungen erzielen.
- Agentische KI erhöht Angriffsfläche: Wenn Agenten in Automatisierungs‑Workflows mit breiten Rechten laufen, genügt ein einfacher Token‑Diebstahl, um weitreichende Aktionen auszuführen.
- Patch‑Fenster bleibt kritisch: Obwohl Microsoft rasch Patches veröffentlicht, bleibt die Zeit zwischen Disclosure und vollständiger Verteilung die Hauptchance für Angreifer.
Praktische Checkliste für IT‑Teams (sofort umsetzbar)
- Inventory: Erstellen Sie eine Liste aller Azure‑MCP‑Endpunkte, Arc‑verbundenen Hosts und Excel/Office‑Installationen in Ihrer Umgebung.
- Patch‑Plan: Priorisieren Sie Patches für CVE‑2026‑26118, CVE‑2026‑26117, CVE‑2026‑26109, CVE‑2026‑26110/26113 und CVE‑2026‑21509. Setzen Sie Ausrollfenster innerhalb von 24–72 Stunden, je nach Exposure.
- Mitigations:
- Deaktivieren Sie Preview‑Panes in Mail und Dateiexplorer.
- Beschränken Sie MCP‑Endpunkte per Netzwerk und IP‑Allowlist.
- Aktualisieren Sie Arc‑Agenten und prüfen Sie Versionen (≥ gepatchte Versionen wie von Cymulate genannt).
- Hunt & Audit:
- Suchen Sie nach anomalen Token‑Requests, ungewöhnlichen Arc‑Agent‑Service‑Starts und Office‑Prozess‑Abnormalitäten nach Patches.
- Prüfen Sie Sign‑ins und RoleAssignments in Azure Activity Logs.
- Kommunikation: Informieren Sie User über sichere Nutzung von Office‑Anhängen und die Gefahren geteilter Gesundheitsdaten in produktiven KI‑Diensten.
Kritische Bewertung und verbleibende Fragen
Die März‑Updates zeigen Microsofts Fokus auf die neue Angriffsfläche von agentischen KI‑Systemen — das ist ein notwendiger Schritt, aber nicht ausreichend. Drei Bereiche erscheinen besonders problematisch:
- Transparenz in Patch‑Details: Manche Cloud‑CVE‑Einträge bleiben technisch knapp dokumentiert; ausführliche Ablaufbeschreibungen und Indicators‑of‑Compromise (IoCs) fehlen teilweise, was Hunt‑Arbeiten erschwert. Externe Analysen (z. B. Cymulate) helfen hier, sollten aber nicht die einzige Grundlage sein.
- Governance‑Lücke bei KI‑Integrationen: Unternehmen haben zumeist noch keine ausgereiften Richtlinien für agentische Workflows und MCP‑ähnliche Integrationsschichten. Ohne Rollen‑ und Token‑Hygiene bleiben Angriffe möglich, selbst wenn einzelne Komponenten gepatcht sind.
- Usability vs. Sicherheit: Funktionen wie Sidebar‑Links oder integrierte Copilot‑Erlebnisse bieten Komfort, können aber Standard‑Sicherheitsvorgaben umgehen. Die Balance zwischen Nutzerfreundlichkeit und Schutz muss neu verhandelt werden — mit technischen Controls (z. B. Edge‑Policies) und klaren Unternehmensregeln.
Vorsicht ist angesagt, we“ Verhaltensweisen (z. B. Link‑Öffnung in Edge‑Seitenleiste) hinweisen: diese sollten technisch validiert werden, bevor sie zu unternehmensweiten Policy‑Änderungen führen. Community‑Beobachtungen sind wertvoll, ersetzen aber keine Telemetriedaten aus der eigenen Umgebung.
Fazit
Der März‑Patchzyklus hat gezeigt: Microsofts Ökosystem ist ein eng verflochtener Stack, in dem Schwachstellen in Office, Azure‑Infrastruktur und KI‑Integrationen sich gegenseitig potenzieren können. Die kritischsten Lektionen für Administratoren sind klar: Inventarisieren, priorisieren, patchen — und parallel dazu Governance‑ und Monitoring‑Praktiken für agentische KI‑Workflows etablieren. Nur so lassen sich kurzfristige Lücken schließen und langfristig die erweiterten Angriffsflächen kontrollieren.
Die BornCity‑Zusammenfassung trifft damit den Nerv der Stunde: Es geht nicht mehr nur um einzelne CVEs, sondern um die Frage, wie Unternehmen Agenten‑fähige Integrationen sicher gestalten. Nehmen Sie die Empfehlungen ernst: Patchen Sie schnell, beschränken Sie Zugriffsrechte auf das Nötigste und bauen Sie Hunt‑Prozesse auf, die hybride Fehlerketten vom Desktop bis in die Cloud erkennen.
<!-- Ende des Artikels -->
Source: BornCity
Microsofts Schwachstellen: Excel, Azure und AI (März 2026)