Microsoft hat am 10. Februar 2026 einen Patch für eine aktiv ausgenutzte Sicherheitslücke in der Windows Shell veröffentlicht. Die Schwachstelle mit der Kennung CVE-2026-21510 erhält einen CVSS-Score von 8,8 (Hoch) und betrifft nahezu alle aktuellen Windows-Versionen – von Windows 10 bis Windows 11 sowie Windows Server 2012 bis 2025.
Das Kernproblem: Windows Shell verarbeitet bestimmte Verknüpfungsdateien (.lnk) und Links fehlerhaft, wodurch ein Angreifer die Schutzfunktionen SmartScreen und die Shell-Sicherheitsabfragen vollständig umgehen kann. In der Praxis bedeutet das: Schädlicher Code kann ausgeführt werden, ohne dass Windows die übliche Warnmeldung anzeigt. Der Angriff erfordert lediglich, dass das Opfer auf einen präparierten Link klickt oder eine manipulierte Verknüpfungsdatei öffnet – keine Administratorrechte, keine komplizierte Vorarbeit. Die Lücke wird laut Microsoft bereits aktiv ausgenutzt.
Ob man betroffen ist, lässt sich schnell prüfen: Unter Einstellungen → Windows Update sieht man, ob die Builds vom 10. Februar 2026 eingespielt sind (z.B. KB5075912 für Windows 10 22H2, KB5075941 für Windows 11 23H2). Fehlen diese, ist das System verwundbar.
Die Empfehlung ist eindeutig: sofort patchen. Wer automatische Updates aktiviert hat, ist in der Regel bereits geschützt. Alle anderen sollten Windows Update manuell anstoßen. Da die Lücke über präparierte Verknüpfungsdateien und Links funktioniert, gilt zusätzlich: keine .lnk-Dateien aus E-Mails oder unbekannten Quellen öffnen, auch wenn sie vertrauenswürdig wirken – SmartScreen schlägt in diesem Fall eben nicht an.
Details und Patches direkt bei Microsoft: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21510
