Microsoft выпустила предупреждение об активной эксплуатации критической уязвимости нулевого дня в Office (CVE-2026-21509), позволяющей обойти защиту через открытие документа OLE. Эксперты призывают немедленно установить патчи и перезагрузить приложения для активации защиты.
Корпорация Microsoft предупреждает администраторов о критической уязвимости нулевого дня в Office, позволяющей обойти защиту простым открытием документа. В настоящее время эта брешь активно эксплуатируется.
«Эта уязвимость является серьезной», — отметил Йоханнес Ульрих, декан по исследованиям в Институте SANS. «Основная причина в том, что Microsoft Office по-прежнему поддерживает устаревший формат документов OLE, который предоставляет доступ к различным компонентам OLE. Эффект схож с тем, что злоумышленник мог бы сделать с помощью макросов Office. Однако макросы Office обычно блокируются для документов, загруженных из интернета. Microsoft внедрила аналогичные механизмы защиты для компонентов OLE, но этот недавний эксплойт нашел способ их обойти».
Несмотря на усилия Microsoft и поставщиков шлюзов электронной почты, письма с вредоносными вложениями остаются существенным вектором атак, добавил он.
«Крайне важно, чтобы организации оперативно установили это обновление. До его применения фильтры на почтовых шлюзах или сигнатуры защиты конечных точек могут помочь снизить угрозу».
К счастью, уязвимость, CVE-2026-21509, с показателем CVSS 7.8, автоматически устраняется в Office 2021 и более новых версиях. Однако администраторам следует учесть, что для вступления патча в силу требуется перезапуск приложений. Для Office 2016 и Office 2019 доступен отдельный патч.
Джек Бицер, директор по исследованиям уязвимостей в Action1, заявил, что для команд безопасности и CISО «срочность реальна: не ждите, немедленно сделайте приоритетом установку этого обновления и убедитесь, что все приложения Office перезапущены, чтобы меры защиты вступили в силу без промедления».
Эксплуатация уязвимости происходит путем отправки вредоносных документов Office и убеждения пользователей открыть их — «классическая техника, которая подчеркивает постоянную эффективность социальной инженерии в реальных атаках», — отметил он.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло эту брешь в свой каталог известных эксплуатируемых уязвимостей. Уязвимости в каталоге должны быть устранены федеральными гражданскими исполнительными органами к указанной дате.
В ответ на запрос о комментарии представитель Microsoft сообщил, что компания рекомендует затронутым клиентам следовать инструкциям на странице CVE. Также он отметил, что Microsoft Defender имеет средства обнаружения для блокировки эксплуатации, а настройка Office по умолчанию Protected View (Защищенный просмотр) обеспечивает дополнительный уровень защиты, блокируя вредоносные файлы из интернета.
«В качестве лучшей практики безопасности мы призываем пользователей проявлять осторожность при загрузке и разрешении редактирования файлов из неизвестных источников, как указано в предупреждениях о безопасности», — добавил представитель.
Эта статья была первоначально опубликована на Computerworld.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon