A vulnerabilidade CVE-2026-21509, já explorada em ataques, exige abertura de arquivo Office especialmente criado e recebeu correção emergencial para versões afetadas.
| Componente | Microsoft Office, Microsoft 365 e mitigação OLE usada para proteger usuários contra controles COM/OLE vulneráveis. |
| Vetor | Arquivo Office especialmente criado, entregue por um atacante e aberto pelo usuário; o Painel de Visualização não é vetor de ataque. |
| Impacto | Bypass local de recurso de segurança no Microsoft Office, com pontuação CVSS 7.8 e exploração ativa confirmada. |
| Prioridade | Aplicar as correções fora do ciclo regular, reiniciar aplicativos Office quando a proteção vier por alteração de serviço e validar mitigação de Registro quando aplicável. |
| Versões | Office 2021 e posteriores recebem proteção por alteração do lado do serviço após reinício dos aplicativos; Office 2016 e Office 2019 exigem instalação de atualizações. |
| Mitigação | A mitigação orientada envolve ajuste no Registro do Windows sob caminhos de compatibilidade COM do Office 16.0, incluindo a chave do identificador {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}. |
A CVE-2026-21509 é uma vulnerabilidade de alta severidade no Microsoft Office descrita como bypass de recurso de segurança. O problema afeta a lógica usada pelo Office ao tomar decisões de segurança com base em entradas não confiáveis, permitindo que um atacante não autorizado contorne proteções locais. A correção foi publicada fora do ciclo regular porque a falha já estava sendo explorada em ataques, embora não tenham sido divulgados detalhes sobre volume, alvos, cadeia completa de exploração ou artefatos usados nas campanhas.
O ponto técnico central é o contorno de mitigações OLE no Microsoft 365 e no Microsoft Office. Essas mitigações existem para reduzir risco associado a controles COM/OLE vulneráveis em documentos. A exploração bem-sucedida depende de um arquivo Office especialmente criado e da interação do destinatário, que precisa abrir o documento. O Painel de Visualização foi explicitamente excluído como vetor de ataque, o que limita o cenário a fluxos em que o conteúdo é efetivamente aberto pelo usuário em um aplicativo Office.
O fluxo de ataque confirmado começa com a preparação de um arquivo Office malformado ou especialmente estruturado para acionar a falha de bypass. O atacante precisa entregar esse arquivo ao alvo por algum canal externo e convencer o usuário a abri-lo. O material analisado não confirma o canal de entrega, portanto não há base para afirmar que a exploração ocorreu por phishing, compartilhamento em nuvem, anexo de e-mail ou download a partir de site comprometido. A condição operacional sustentada é a abertura manual do arquivo em um ambiente Office vulnerável ou ainda não protegido.
A vulnerabilidade não foi descrita como execução remota de código, vazamento de dados ou elevação de privilégio. O impacto confirmado é o bypass de uma decisão de segurança relacionada a entradas não confiáveis e a mitigação OLE. Em termos defensivos, isso significa que controles que deveriam impedir ou reduzir a exposição a COM/OLE vulnerável podem não ser aplicados corretamente em determinadas condições. Como a pontuação CVSS informada é 7.8, o risco é relevante, mas a análise deve permanecer limitada ao efeito técnico confirmado: enfraquecimento de proteção local no processamento de documento Office.
A ausência de detalhes públicos sobre escopo e natureza dos ataques exige cautela na resposta. Não há indicador de comprometimento, hash, domínio, nome de ator, família de malware ou cadeia pós-exploração divulgado no contexto. Por isso, a investigação deve se concentrar em evidências de exposição a documentos Office recebidos e abertos antes da aplicação da correção, mudanças de postura de atualização, presença da mitigação de Registro quando adotada e reinício efetivo dos aplicativos Office nos ambientes protegidos por alteração do lado do serviço.
A superfície exposta envolve estáções e ambientes nos quais usuários abrem documentos Office em versões dependentes da correção. Para Office 2021 e versões posteriores, a proteção é aplicada por uma alteração do lado do serviço, mas o efeito exige reinicialização dos aplicativos Office. Esse detalhe é importante em ambientes corporativos nos quais sessões ficam abertas por longos períodos, porque a existência da alteração de serviço não garante que o processo local já esteja operando com a proteção ativa.
Para Office 2016 e Office 2019, o material analisado indica necessidade de instalar atualizações específicas. A diferença operacional entre os ramos é relevante para inventário: máquinas mais antigas ou fora de políticas automáticas de atualização não devem ser tratadas como protegidas apenas porque versões modernas receberam mudança de serviço. A mitigação de Registro citada também depende da arquitetura e do modelo de instalação, com caminhos distintos para MSI de 64 bits, MSI de 32 bits em Windows de 32 bits, MSI de 32 bits em Windows de 64 bits e Click-to-Run.
- Ambientes com Microsoft Office ou Microsoft 365 que processam documentos recebidos de fontes externas ou não confiáveis.
- Instalações Office 2021 e posteriores que ainda não tiveram os aplicativos reiniciados após a alteração de proteção do lado do serviço.
- Instalações Office 2016 e Office 2019 que ainda não receberam as atualizações indicadas para a
CVE-2026-21509. - Hosts em que a mitigação de compatibilidade COM do Office 16.0 não foi validada para a chave
{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}quando essa medida for usada.
A caça deve partir do pré-requisito confirmado: abertura de arquivo Office especialmente criado. Em gateways de e-mail, proxies, EDR e telemetria de endpoint, a prioridade é identificar documentos Office recebidos de origem externa e posteriormente abertos por usuários em máquinas ainda não corrigidas. Como o Painel de Visualização não é vetor, eventos em que o arquivo foi apenas pré-visualizado não devem ser tratados como evidência suficiente de exploração; o foco deve ficar em abertura real por aplicativo Office.
No endpoint, a telemetria útil inclui linha do tempo de criação, download, salvamento e abertura de documentos Office, estado de atualização do produto, reinício dos aplicativos após a janela de correção e presença da mitigação no Registro quando implementada. A análise de processos pode ajudar a contextualizar comportamento anômalo após a abertura de documentos, mas o material analisado não fornece uma cadeia pós-exploração específica. Assim, qualquer alerta de processo filho, carregamento de COM/OLE ou atividade subsequente deve ser tratado como pista investigativa, não como IoC confirmado da CVE-2026-21509.
- Eventos de abertura de documentos Office recebidos de fontes externas antes da aplicação da correção emergencial.
- Inventário de hosts com Office 2016 ou Office 2019 sem atualização instalada.
- Aplicativos Office 2021 ou posteriores sem reinício após a mudança de proteção do lado do serviço.
- Chaves de Registro de compatibilidade COM do Office 16.0 ausentes ou divergentes em máquinas que adotaram a mitigação recomendada.
- Alertas de EDR correlacionados temporalmente à abertura de documentos Office, mantendo separação entre sinal investigativo e confirmação de exploração.
A resposta deve começar pela aplicação das correções fora do ciclo regular em todos os sistemas elegíveis. Em Office 2021 e versões posteriores, a validação não termina com a disponibilidade da alteração de serviço: é necessário confirmar que os aplicativos Office foram fechados e abertos novamente para que a proteção tenha efeito. Em Office 2016 e Office 2019, a ação principal é instalar as atualizações correspondentes e verificar o estado do produto por inventário centralizado, não apenas por amostragem manual.
Quando a mitigação por Registro for adotada, ela deve ser aplicada de forma controlada, com distinção entre caminhos de Office MSI e Click-to-Run e entre arquiteturas de 32 e 64 bits. O identificador {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} e o valor de compatibilidade indicado fazem parte da configuração defensiva descrita, mas a implantação deve passar por validação de mudança, teste de compatibilidade e verificação posterior nos endpoints. A falha já constar no catálogo de vulnerabilidades exploradas conhecidas da CISA aumenta a urgência para ambientes regulados, com prazo de correção para agências federais civis dos Estados Unidos em 16 de fevereiro de 2026.
Após a correção, a investigação retrospectiva deve revisar janelas anteriores à atualização, especialmente em usuários que abriram documentos Office externos. A ausência de detalhes públicos sobre ataques explorando a falha impede a criação de detecção baseada em IoCs específicos. Por isso, a defesa deve combinar inventário de versão, estado de reinício, histórico de abertura de arquivos, telemetria de endpoint e análise de anomalias imediatamente posteriores ao uso do Office.
- Aplicar as atualizações emergenciais para Office 2016 e Office 2019 onde essas versões estiverem presentes.
- Confirmar reinício dos aplicativos em Office 2021 e versões posteriores para ativar a proteção entregue por alteração do lado do serviço.
- Validar a mitigação de Registro somente nos caminhos corretos para a arquitetura e o modelo de instalação do Office.
- Priorizar máquinas que abrem documentos de origem externa e usuários com maior exposição a arquivos não confiáveis.
- Executar revisão retrospectiva de documentos Office abertos antes da correção, sem assumir vazamento, execução de código ou comprometimento quando a telemetria não sustentar essas conclusões.
0 Comentários