Microsoft wydał poprawki dla luki CVE-2026-21509. Jest to niedawno ujawniona podatność typu zero-day w pakiecie Office, która może zostać wykorzystana do obejścia funkcji zabezpieczeń. W komunikacie giganta technologicznego dotyczącym CVE-2026-21509 wspomniano, że firma jest świadoma jej aktywnej eksploatacji.

Autor: 3 min czytania

Luka została odkryta przez analityków bezpieczeństwa Microsoftu, ale firma nie udostępniła żadnych informacji na temat tej złośliwej aktywności. W opisie podatności możemy za to przeczytać: „Poleganie na niezaufanych danych wejściowych w procesie podejmowania decyzji dotyczących bezpieczeństwa w pakiecie Microsoft Office umożliwia nieautoryzowanemu atakującemu lokalne ominięcie funkcji zabezpieczeń”.

Firma wyjaśniła również, że błąd „omija mechanizmy łagodzące luki OLE w pakiecie Microsoft 365 i pakiecie Microsoft Office, które chronią użytkowników przed podatnymi na ataki kontrolkami COM/OLE”.

Aby wykorzystać podatność, atakujący musi przekonać użytkownika do otwarcia złośliwego pliku pakietu Office.

Stosowanie socjotechniki w połączeniu ze złożonością exploita i potencjalną potrzebą wieloetapowego łańcucha ataków, wskazuje, że ten atak typu zero-day jest wykorzystywany do ukierunkowanego szpiegostwa lub innych operacji o wysokiej wartości, a nie do szeroko zakrojonych kampanii.

Microsoft wydał poprawki dla wszystkich zagrożonych wersji pakietu Office, w tym 2016, 2019, LTSC 2024, LTSC 2021 i Microsoft 365 Apps for Enterprise.

Dostępne są również środki zaradcze dla użytkowników, którzy nie mogą natychmiast zaktualizować swoich instalacji pakietu Office.

O tym, że podatność jest poważna, świadczy fakt, że Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) dodała CVE-2026-21509 do swojego katalogu znanych luk wykorzystywanych przez użytkowników (KEV), instruując amerykańskie instytucje rządowe o konieczności mitygacji zagrożenia do 16 lutego.

Aktualizacje Microsoftu ze styczniowego wydania Patch Tuesday usunęły ponad 110 luk w zabezpieczeniach, w tym zero-day w systemie Windows, którego wykorzystanie zostało odkryte przez badaczy producenta. Nie udostępniono również żadnych informacji na temat tych ataków. Pisaliśmy o tym tutaj.

Do czasu powstania tego posta Microsoft nie podał żadnych informacji na temat ataków. Niemniej przekazał SecurityWeek lakoniczne oświadczenie, które jest bardziej reklamą Defendera niż realną pomocą dla działów bezpieczeństwa:

„Zalecamy klientom, których dotyczył atak, postępowanie zgodnie ze wskazówkami na naszej stronie poświęconej lukom CVE. Ponadto program Microsoft Defender ma wdrożone mechanizmy wykrywania, które blokują wykorzystanie luk, a nasze domyślne ustawienie widoku chronionego zapewnia dodatkową warstwę ochrony, blokując złośliwe pliki z Internetu. Zgodnie z najlepszymi praktykami bezpieczeństwa zachęcamy użytkowników do zachowania ostrożności podczas pobierania i edytowania plików z nieznanych źródeł, zgodnie z ostrzeżeniami bezpieczeństwa”.