Разработчики Microsoft выпустили внеплановые патчи для критической уязвимости в Office, которую уже активно эксплуатируют в атаках. Проблема затронула практически все версии продукта — от Office 2016 до Microsoft 365 Apps for Enterprise.
Уязвимость получила идентификатор CVE-2026-21509 (7,8 балла по шкале CVSS) и связана с обходом защиты от вредоносных COM/OLE-компонентов.
«Уязвимость возникает из-за того, что Microsoft Office полагается на недоверенные входные данные при принятии решений о безопасности, что позволяет неавторизованному злоумышленнику обойти локальную защиту», — объясняют в Microsoft.
Для успешной атаки злоумышленнику нужно отправить жертве специально подготовленный файл Office и убедить пользователя открыть его. Так как панель предварительного просмотра не является вектором атаки, файл нужно именно запустить вручную.
Microsoft опубликовала обновления для Office 2021 и более новых версий. Пользователи этих продуктов получат защиту автоматически через обновление на стороне сервера, но потребуется перезапустить приложения Office.
С 26 января 2026 года пользователям Office 2016 и 2019 доступны следующие обновления:
- Microsoft Office 2019 — 16.0.10417.20095;
- Microsoft Office 2016 — 16.0.5539.1001.
Кроме того, в качестве меры предосторожности в компании предлагают пользователям защититься через реестр Windows. Для этого нужно создать ключ {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} в соответствующем разделе COM Compatibility и добавить параметр Compatibility Flags со значением 400 (шестнадцатеричное).
Точное расположение ключа реестра зависит от версии Office (MSI или Click2Run) и разрядности системы. Для 64-битного MSI Office на 64-битной Windows это будет HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\, а для 32-битного MSI Office на 64-битной Windows — HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\.
Microsoft сообщает, что обнаружение уязвимости — заслуга собственных специалистов компании: баг нашли эксперты Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC) и команда по безопасности продуктов Office.
Хотя уязвимость уже находится под атаками, никаких подробностей о них не раскрывается.
«Мы рекомендуем соблюдать осторожность при загрузке и редактировании файлов из неизвестных источников, как указано в предупреждениях системы безопасности», — напомнили в Microsoft.
