В понедельник компания Microsoft выпустила внеплановые обновления безопасности, направленные на устранение критической угрозы в своем программном обеспечении. Речь идет об уязвимости нулевого дня в Microsoft Office, которая имеет высокий статус серьезности и, согласно подтвержденным данным, уже подвергается активной эксплуатации злоумышленниками. Ситуация требует немедленного вмешательства со стороны системных администраторов и пользователей путем установки патчей или применения временных обходных путей.
Выявленной проблеме присвоен идентификатор CVE-2026-21509, а ее оценка по шкале CVSS составляет 7.8 баллов из 10.0, что классифицирует ее как угрозу высокого уровня. Технически уязвимость представляет собой обход функций безопасности. Коренная причина кроется в зависимости от ненадежных входных данных при принятии решений системой защиты, что позволяет атакующим локально преодолевать барьеры безопасности. В частности, эксплойт обходит механизмы защиты OLE в Microsoft 365 и Office, которые были специально разработаны для блокировки уязвимых элементов управления COM/OLE.
Вектор атаки требует взаимодействия с пользователем: злоумышленник должен отправить специально подготовленный файл Office и убедить жертву открыть его. Атака осуществляется локально, и Microsoft пока не раскрывает подробностей о характере текущих инцидентов, чтобы не предоставлять хакерам дополнительных инструкций. Важно отметить, что область предварительного просмотра (Preview Pane) не является вектором атаки, угроза активируется только при полноценном открытии файла.
Для пользователей Office 2021 и более поздних версий защита внедряется автоматически на стороне сервера, однако для вступления изменений в силу необходимо перезапустить приложения Office. Для более старых версий выпущены конкретные сборки, закрывающие брешь в безопасности. Это Microsoft Office 2019 (64-разрядная версия) сборки 16.0.10417.20095, а также Microsoft Office 2016: сборка 16.0.5539.1001 для 32-разрядной версии и сборка 16.0.5539.0 для 64-разрядной версии.
В тех случаях, когда автоматическое обновление невозможно, предусмотрена ручная настройка через редактор реестра. Путь к целевому разделу зависит от типа установки и разрядности системы. Для 64-битных MSI Office или 32-битных на 32-битной Windows путь выглядит как
Процесс ручного исправления требует создания нового подраздела в ветке
Реагируя на угрозу, Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило CVE-2026-21509 в каталог известных эксплуатируемых уязвимостей (KEV). Государственным учреждениям федеральной гражданской исполнительной власти (FCEB) предписано применить необходимые исправления в срок до 16 февраля 2026 года. Заслуга в обнаружении и анализе угрозы принадлежит Центру анализа угроз Microsoft (MSTIC), Центру реагирования на инциденты безопасности Microsoft (MSRC) и Группе безопасности продуктов Office.
Изображение носит иллюстративный характер
Выявленной проблеме присвоен идентификатор CVE-2026-21509, а ее оценка по шкале CVSS составляет 7.8 баллов из 10.0, что классифицирует ее как угрозу высокого уровня. Технически уязвимость представляет собой обход функций безопасности. Коренная причина кроется в зависимости от ненадежных входных данных при принятии решений системой защиты, что позволяет атакующим локально преодолевать барьеры безопасности. В частности, эксплойт обходит механизмы защиты OLE в Microsoft 365 и Office, которые были специально разработаны для блокировки уязвимых элементов управления COM/OLE.
Вектор атаки требует взаимодействия с пользователем: злоумышленник должен отправить специально подготовленный файл Office и убедить жертву открыть его. Атака осуществляется локально, и Microsoft пока не раскрывает подробностей о характере текущих инцидентов, чтобы не предоставлять хакерам дополнительных инструкций. Важно отметить, что область предварительного просмотра (Preview Pane) не является вектором атаки, угроза активируется только при полноценном открытии файла.
Для пользователей Office 2021 и более поздних версий защита внедряется автоматически на стороне сервера, однако для вступления изменений в силу необходимо перезапустить приложения Office. Для более старых версий выпущены конкретные сборки, закрывающие брешь в безопасности. Это Microsoft Office 2019 (64-разрядная версия) сборки 16.0.10417.20095, а также Microsoft Office 2016: сборка 16.0.5539.1001 для 32-разрядной версии и сборка 16.0.5539.0 для 64-разрядной версии.
В тех случаях, когда автоматическое обновление невозможно, предусмотрена ручная настройка через редактор реестра. Путь к целевому разделу зависит от типа установки и разрядности системы. Для 64-битных MSI Office или 32-битных на 32-битной Windows путь выглядит как
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\. Для 32-битных MSI на 64-битной Windows используется ветка WOW6432Node. Аналогичное разделение применяется к версиям Click2Run: пути содержат сегмент \ClickToRun\REGISTRY\MACHINE\Software\, с добавлением WOW6432Node при запуске 32-битного ПО на 64-битной ОС. Процесс ручного исправления требует создания нового подраздела в ветке
COM Compatibility. Имя подраздела должно точно соответствовать значению {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}. Внутри этого подраздела необходимо создать параметр типа DWORD (32-bit) с именем «Compatibility Flags» и установить для него шестнадцатеричное значение 400. После внесения изменений в реестр необходимо закрыть редактор и запустить приложение Office для применения новых настроек безопасности. Реагируя на угрозу, Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило CVE-2026-21509 в каталог известных эксплуатируемых уязвимостей (KEV). Государственным учреждениям федеральной гражданской исполнительной власти (FCEB) предписано применить необходимые исправления в срок до 16 февраля 2026 года. Заслуга в обнаружении и анализе угрозы принадлежит Центру анализа угроз Microsoft (MSTIC), Центру реагирования на инциденты безопасности Microsoft (MSRC) и Группе безопасности продуктов Office.
