SEK - Security Ecosystem Knowledge

SEK SECURITY ADVISORY

Microsoft corrige zero-day crítico no Office explorado em ataques
27 JANEIRO | 2026
SEVERIDADE: ALTA

SEK SECURITY ADVISORY

Microsoft patches critical Office zero-day exploited in attacks
JANUARY 27 | 2026
SEVERITY: HIGH

SEK SECURITY ADVISORY

Microsoft corrige zero-day crítico en Office explotado en ataques
27 ENERO | 2026
SEVERIDAD: ALTA

Overview

A Microsoft divulgou correções emergenciais para a vulnerabilidade zero-day CVE-2026-21509 (CVSS 7.8) no Microsoft Office, confirmando exploração ativa em ataques. A falha afeta múltiplas versões do Office, incluindo Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 e Microsoft 365 Apps for Enterprise, permitindo que atacantes contornem recursos de segurança do produto através de arquivos Office maliciosos.

A vulnerabilidade é classificada como Security Feature Bypass (bypass de recurso de segurança) e explora a dependência de entradas não confiáveis em decisões de segurança do Microsoft Office. Especificamente, a atualização corrige uma falha que permite contornar mitigações OLE (Object Linking and Embedding) no Microsoft 365 e Microsoft Office, proteções projetadas para defender usuários contra controles COM/OLE vulneráveis. A exploração bem-sucedida depende de um atacante enviar arquivo Office especialmente criado e convencer o destinatário a abri-lo. A Microsoft ressalta que o painel de pré-visualização (Preview Pane) não é vetor de ataque.

A CISA adicionou a CVE-2026-21509 ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), estabelecendo prazo até 16 de fevereiro de 2026 para agências federais americanas aplicarem correções. A Microsoft confirmou que suas equipes de inteligência de ameaças (MSTIC), resposta a incidentes (MSRC) e segurança do produto Office identificaram a exploração ativa, porém não compartilhou detalhes sobre a natureza e escopo dos ataques que exploram a vulnerabilidade.

Produtos Afetados

CVE Severidade Produto Afetado
CVE-2026-21509 Alta Microsoft Office 2016 (32-bit e 64-bit), Microsoft Office 2019 (32-bit e 64-bit), Microsoft Office LTSC 2021, Microsoft Office LTSC 2024, Microsoft 365 Apps for Enterprise

Nota: Usuários do Office 2021 e versões posteriores recebem proteção automática via atualização do lado do servidor, mas precisam reiniciar aplicações Office. Usuários do Office 2016 e 2019 devem instalar manualmente atualizações específicas: Office 2016 para versão 16.0.5539.1001 (KB5002713) e Office 2019 para versão 16.0.10417.20095.

Recomendações

  • Aplicar imediatamente as atualizações de segurança da Microsoft para todas as versões afetadas do Office conforme detalhado: Office 2021 e posterior requerem reinicialização das aplicações; Office 2019 deve ser atualizado para versão 16.0.10417.20095 (32-bit e 64-bit); Office 2016 deve ser atualizado para versão 16.0.5539.1001 (32-bit e 64-bit)
  • Implementar mitigação temporária via registro do Windows caso patches não possam ser aplicados imediatamente, seguindo os passos: (1) fazer backup do registro do Windows; (2) fechar todas as aplicações Microsoft Office; (3) abrir o Editor do Registro; (4) localizar a subchave apropriada conforme tipo de instalação (MSI 64-bit, MSI 32-bit, Click-to-Run 64-bit ou Click-to-Run 32-bit); (5) adicionar nova subchave com nome {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} clicando com botão direito em "COM Compatibility" e escolhendo "Add Key"; (6) dentro da subchave criada, adicionar novo valor REG_DWORD hexadecimal chamado "Compatibility Flags" com valor 400; (7) fechar o Editor do Registro e iniciar aplicação Office
  • Exercer máxima cautela ao abrir arquivos Office de fontes desconhecidas ou não confiáveis, especialmente aqueles recebidos por email ou canais não oficiais, evitando habilitar edição em arquivos suspeitos
  • Reforçar treinamento de conscientização sobre segurança com foco em não abrir arquivos Office não solicitados e estar atento aos avisos de segurança do Office antes de habilitar edição em documentos
  • Monitorar logs de segurança em busca de tentativas de abertura de arquivos Office suspeitos ou comportamento anômalo em sistemas com Office instalado

Fontes

Overview

Microsoft released emergency patches for the zero-day vulnerability CVE-2026-21509 (CVSS 7.8) in Microsoft Office, confirming active exploitation in attacks. The flaw affects multiple Office versions, including Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024, and Microsoft 365 Apps for Enterprise, allowing attackers to bypass product security features through malicious Office files.

The vulnerability is classified as a Security Feature Bypass and exploits the reliance on untrusted inputs in Microsoft Office security decisions. Specifically, the update fixes a flaw that allows bypassing OLE (Object Linking and Embedding) mitigations in Microsoft 365 and Microsoft Office, protections designed to defend users against vulnerable COM/OLE controls. Successful exploitation depends on an attacker sending a specially crafted Office file and convincing the recipient to open it. Microsoft emphasizes that the Preview Pane is not an attack vector.

CISA added CVE-2026-21509 to the Known Exploited Vulnerabilities (KEV) catalog, establishing a deadline of February 16, 2026 for US federal agencies to apply patches. Microsoft confirmed that its threat intelligence teams (MSTIC), incident response (MSRC), and Office product security team identified the active exploitation, but did not share details about the nature and scope of attacks exploiting the vulnerability.

Affected Products

CVE Severity Affected Product
CVE-2026-21509 High Microsoft Office 2016 (32-bit and 64-bit), Microsoft Office 2019 (32-bit and 64-bit), Microsoft Office LTSC 2021, Microsoft Office LTSC 2024, Microsoft 365 Apps for Enterprise

Note: Office 2021 and later users receive automatic protection via server-side update but must restart Office applications. Office 2016 and 2019 users must manually install specific updates: Office 2016 to version 16.0.5539.1001 (KB5002713) and Office 2019 to version 16.0.10417.20095.

Recommendations

  • Immediately apply Microsoft security updates for all affected Office versions as detailed: Office 2021 and later require application restart; Office 2019 must be updated to version 16.0.10417.20095 (32-bit and 64-bit); Office 2016 must be updated to version 16.0.5539.1001 (32-bit and 64-bit)
  • Implement temporary Windows registry mitigation if patches cannot be applied immediately, following these steps: (1) back up the Windows registry; (2) close all Microsoft Office applications; (3) open Registry Editor; (4) locate the appropriate subkey according to installation type (MSI 64-bit, MSI 32-bit, Click-to-Run 64-bit, or Click-to-Run 32-bit); (5) add new subkey named {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} by right-clicking "COM Compatibility" and choosing "Add Key"; (6) within the created subkey, add new REG_DWORD hexadecimal value named "Compatibility Flags" with value 400; (7) close Registry Editor and start Office application
  • Exercise extreme caution when opening Office files from unknown or untrusted sources, especially those received via email or unofficial channels, avoiding enabling editing on suspicious files
  • Strengthen security awareness training focusing on not opening unsolicited Office files and being attentive to Office security warnings before enabling editing on documents
  • Monitor security logs for suspicious Office file opening attempts or anomalous behavior on systems with Office installed

Sources

Overview

Microsoft publicó parches de emergencia para la vulnerabilidad zero-day CVE-2026-21509 (CVSS 7.8) en Microsoft Office, confirmando explotación activa en ataques. La falla afecta múltiples versiones de Office, incluyendo Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 y Microsoft 365 Apps for Enterprise, permitiendo que atacantes evadan características de seguridad del producto a través de archivos Office maliciosos.

La vulnerabilidad está clasificada como Security Feature Bypass (evasión de característica de seguridad) y explota la dependencia de entradas no confiables en decisiones de seguridad de Microsoft Office. Específicamente, la actualización corrige una falla que permite evadir mitigaciones OLE (Object Linking and Embedding) en Microsoft 365 y Microsoft Office, protecciones diseñadas para defender usuarios contra controles COM/OLE vulnerables. La explotación exitosa depende de que un atacante envíe un archivo Office especialmente creado y convenza al destinatario de abrirlo. Microsoft resalta que el panel de vista previa (Preview Pane) no es un vector de ataque.

CISA agregó CVE-2026-21509 al catálogo de Vulnerabilidades Explotadas Conocidas (KEV), estableciendo plazo hasta el 16 de febrero de 2026 para que agencias federales estadounidenses apliquen correcciones. Microsoft confirmó que sus equipos de inteligencia de amenazas (MSTIC), respuesta a incidentes (MSRC) y seguridad del producto Office identificaron la explotación activa, pero no compartió detalles sobre la naturaleza y alcance de los ataques que explotan la vulnerabilidad.

Productos Afectados

CVE Severidad Producto Afectado
CVE-2026-21509 Alta Microsoft Office 2016 (32-bit y 64-bit), Microsoft Office 2019 (32-bit y 64-bit), Microsoft Office LTSC 2021, Microsoft Office LTSC 2024, Microsoft 365 Apps for Enterprise

Nota: Usuarios de Office 2021 y versiones posteriores reciben protección automática vía actualización del lado del servidor, pero deben reiniciar aplicaciones Office. Usuarios de Office 2016 y 2019 deben instalar manualmente actualizaciones específicas: Office 2016 a versión 16.0.5539.1001 (KB5002713) y Office 2019 a versión 16.0.10417.20095.

Recomendaciones

  • Aplicar inmediatamente las actualizaciones de seguridad de Microsoft para todas las versiones afectadas de Office según lo detallado: Office 2021 y posterior requieren reinicio de aplicaciones; Office 2019 debe actualizarse a versión 16.0.10417.20095 (32-bit y 64-bit); Office 2016 debe actualizarse a versión 16.0.5539.1001 (32-bit y 64-bit)
  • Implementar mitigación temporal vía registro de Windows si los parches no pueden aplicarse inmediatamente, siguiendo los pasos: (1) hacer copia de seguridad del registro de Windows; (2) cerrar todas las aplicaciones Microsoft Office; (3) abrir el Editor del Registro; (4) localizar la subclave apropiada según tipo de instalación (MSI 64-bit, MSI 32-bit, Click-to-Run 64-bit o Click-to-Run 32-bit); (5) agregar nueva subclave con nombre {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} haciendo clic derecho en "COM Compatibility" y eligiendo "Add Key"; (6) dentro de la subclave creada, agregar nuevo valor REG_DWORD hexadecimal llamado "Compatibility Flags" con valor 400; (7) cerrar el Editor del Registro e iniciar aplicación Office
  • Ejercer máxima precaución al abrir archivos Office de fuentes desconocidas o no confiables, especialmente aquellos recibidos por correo electrónico o canales no oficiales, evitando habilitar edición en archivos sospechosos
  • Reforzar entrenamiento de concientización sobre seguridad con enfoque en no abrir archivos Office no solicitados y estar atento a las advertencias de seguridad de Office antes de habilitar edición en documentos
  • Monitorear registros de seguridad en busca de intentos de apertura de archivos Office sospechosos o comportamiento anómalo en sistemas con Office instalado

Fuentes

Central de Conteúdos SEK

Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.

Acessar Central de Conteúdos

SEK Content Hub

Access our content hub and check out the latest reports and news on cybersecurity.

Access Content Hub

Central de Contenidos SEK

Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.

Acceder a la Central de Contenidos