Microsoft выпустила экстренный патч для Office из-за активного использования уязвимости нулевого дня (CVE-2026-21509), позволяющей обходить защиту устаревших компонентов. Пользователи Office 2016/2019 пока могут использовать только ручные правки реестра для смягчения рисков.
Microsoft выпустила экстренное исправление для Office после подтверждения того, что уязвимость нулевого дня (zero-day) уже используется в реальных атаках.
Эта уязвимость, отслеживаемая как CVE-2026-21509 и получившая оценку CVSS 7.8, относится к категории “обход функций безопасности” (security feature bypass) от Microsoft. На практике это означает, что злоумышленники могут обойти средства защиты, предназначенные для предотвращения выполнения небезопасных устаревших компонентов. К таким компонентам относятся COM и OLE — старые механизмы Windows, которые годами находились в центре атак, основанных на документах, и, очевидно, ещё не заслужили своего вывода из эксплуатации.
По данным Microsoft, эксплуатация уязвимости не зависит от области предварительного просмотра Office (часто являющейся тревожным сигналом в прошлых кампаниях), но всё же требует минимальных усилий после того, как жертва убеждена открыть заражённый файл. В своём бюллетене компания описывает проблему как “зависимость от недоверенных входных данных при принятии решений о безопасности” — вежливый способ сказать, что Office можно склонить к выполнению несанкционированных действий.
“Зависимость от недоверенных входных данных при принятии решений о безопасности в Microsoft Office позволяет неавторизованному злоумышленнику локально обойти функцию безопасности”, — заявили в Microsoft. “Злоумышленнику необходимо отправить пользователю вредоносный файл Office и убедить его открыть”.
Уязвимость затрагивает большинство актуальных сборок Office: от Office 2016 и 2019 до версий LTSC и Microsoft 365 Apps for Enterprise. Обновления выпущены для более новых версий, но те, кто всё ещё использует Office 2016 или 2019, вынуждены ждать. Microsoft заявляет, что исправления для этих редакций пока не готовы и будут выпущены “как можно скорее”.
Тем временем Редмонд рекомендует затронутым клиентам предпринять шаги по смягчению рисков, которые, по их словам, могут снизить вероятность эксплуатации. Они включают ручную блокировку уязвимых элементов управления COM и OLE через реестр Windows путём добавления определённого ключа совместимости COM и установки значения DWORD флагов совместимости. Это та мера предосторожности, которую многим организациям будет сложно последовательно внедрить в масштабе.
Microsoft хранит молчание о том, как именно используется CVE-2026-21509, не предоставляя подробностей об атакующих кампаниях, профилях жертв или масштабе ущерба. Компания отметила, что обнаружила эту проблему благодаря собственным командам Microsoft Threat Intelligence Center, Microsoft Security Response Center и Office Product Group Security Team.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) оперативно добавило эту уязвимость в свой Каталог известных эксплуатируемых уязвимостей, установив для федеральных гражданских исполнительных органов крайний срок 16 февраля для установки доступных исправлений.
Патч вышел всего через несколько дней после того, как Microsoft била тревогу по поводу CVE-2026-20805 — отдельного бага в Windows, который уже активно эксплуатировался, придавая 2026 году вызывающе знакомый оттенок. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page