Microsoft спешно устраняет уязвимость нулевого дня в Office, которая активно используется злоумышленниками.

Компания Microsoft выпустила экстренные, внеплановые обновления безопасности для устранения серьезной уязвимости нулевого дня в Microsoft Office, которая уже используется в реальных атаках, что подчеркивает сохраняющиеся проблемы безопасности, с которыми сталкивается одна из самых распространенных в мире платформ для повышения производительности.

Уязвимость, зарегистрированная под номером CVE-2026-21509 , классифицируется как уязвимость обхода функций безопасности и затрагивает широкий спектр продуктов Office, включая Microsoft Office 2016 , Office 2019 , Office LTSC 2021 , Office LTSC 2024 и Microsoft 365 Apps for Enterprise . По данным Microsoft, уязвимость позволяет злоумышленникам обходить встроенные средства защиты, предназначенные для блокировки небезопасных элементов управления COM и OLE — компонентов, которые долгое время были излюбленной мишенью для атак со стороны злоумышленников.

Хотя для большинства поддерживаемых версий уже доступны исправления, Microsoft признала, что пользователи Office 2016 и Office 2019 по-прежнему уязвимы , поскольку исправления для этих версий еще не выпущены. Компания заявила, что обновления для этих версий появятся в ближайшее время, но не назвала точных сроков.

Путь атаки с низкой сложностью и высокой эффективностью

В своем уведомлении Microsoft подчеркнула, что уязвимость не зависит от панели предварительного просмотра Office — часто являющейся серьезной проблемой при атаках на документы, — но все же представляет серьезный риск из-за низкой сложности ее эксплуатации.

«Использование ненадежных данных при принятии решений по безопасности в Microsoft Office позволяет неавторизованному злоумышленнику обойти локальные функции безопасности», — заявила Microsoft. «Злоумышленнику необходимо отправить пользователю вредоносный файл Office и убедить его открыть его».

Эта модель атаки соответствует знакомой и весьма эффективной тактике: социальная инженерия в сочетании с вредоносными документами. Компании, занимающиеся анализом угроз, такие как Mandiant , CrowdStrike и Proofpoint, неоднократно документировали, как фишинговые кампании с использованием вредоносных файлов Office остаются одними из самых надежных первоначальных векторов доступа как для киберпреступников, так и для групп, спонсируемых государством. Даже несмотря на то, что Microsoft за эти годы усилила защиту Office, отключив макросы по умолчанию и внедрив более строгие меры защиты от OLE, злоумышленники продолжают искать уязвимости, позволяющие им обходить эти средства защиты.

Уязвимость обходит меры защиты, предназначенные для предотвращения доступа пользователей к небезопасным элементам управления COM (Component Object Model) и OLE (Object Linking and Embedding) — устаревшим технологиям, глубоко интегрированным в Windows и Office. Хотя эти компоненты обеспечивают мощную интеграцию и автоматизацию, они также были замешаны в многочисленных прошлых атаках, в том числе используемых операторами программ-вымогателей и группами, осуществляющими сложные целевые атаки (APT).

Исследователи в области безопасности давно предупреждали, что устаревшие компоненты Windows остаются привлекательными целями для атак, поскольку они сложны, широко распространены и их трудно полностью вывести из эксплуатации. Когда мы видим обход мер защиты, а не простую ошибку повреждения памяти, это признак того, что злоумышленники адаптируются к улучшениям безопасности от Microsoft.

Непонятные меры по устранению неполадок для пользователей, у которых не установлены обновления.

Для организаций, все еще использующих Office 2016 или 2019, Microsoft предложила временные рекомендации по устранению проблемы, хотя эти инструкции подверглись критике за чрезмерную сложность и плохое объяснение. Обходной путь включает в себя ручное редактирование реестра Windows для обеспечения применения флагов совместимости, блокирующих определенный уязвимый COM-объект.

Для выполнения этих шагов администраторам необходимо создать или изменить ключи реестра в разделе «Совместимость с COM» Office и присвоить им определенное значение флагов совместимости . Хотя такой подход эффективен для снижения риска эксплуатации уязвимостей, он далек от идеала.

Редактирование реестра вручную сопряжено с определенным риском, особенно в крупных корпоративных средах или на системах, управляемых менее опытными пользователями. Специалисты по безопасности отмечают, что такие меры лучше всего применять с помощью централизованных инструментов управления, таких как групповые политики или Microsoft Intune , хотя в рекомендациях Microsoft не предусмотрены готовые шаблоны для этого.

Как это часто бывает с активно используемыми уязвимостями нулевого дня, Microsoft предоставила мало технических подробностей о том, как уязвимость CVE-2026-21509 используется в реальных условиях. Компания не раскрыла, кто обнаружил уязвимость, какие злоумышленники её используют, а также являются ли атаки широкомасштабными или целенаправленными.

Отсутствие прозрачности стало постоянной проблемой в сообществе специалистов по безопасности. Хотя поставщики часто скрывают детали, чтобы не помогать злоумышленникам, защитники утверждают, что более полная информация помогает организациям оценивать риски и расставлять приоритеты в реагировании. Например, используется ли данная уязвимость в массовых фишинговых кампаниях или в целенаправленном шпионаже? Соответственно, это существенно повлияет на то, как организации будут реагировать.

Экстренные обновления Office выходят на фоне и без того напряженного месяца для команд безопасности Microsoft. В ходе январского обновления Patch Tuesday 2026 компания устранила 114 уязвимостей , включая еще одну активно используемую уязвимость нулевого дня и две публично раскрытые уязвимости.

Одна из таких уязвимостей — раскрытие информации в диспетчере окон рабочего стола (DWM) , позволяющее злоумышленникам считывать конфиденциальные адреса памяти, связанные с удаленными портами ALPC. Хотя эта уязвимость оценена как «важная», а не «критическая», она подчеркивает, как даже ошибки, не связанные с удаленным выполнением кода, могут играть роль в сложных цепочках атак.

Ситуацию усугубляет и то, что Microsoft в последние недели выпустила несколько внеплановых обновлений Windows для устранения проблем, возникших после январских патчей, включая проблемы с завершением работы системы, ошибки в Windows Cloud PC и дефект, из-за которого классический клиент Outlook зависал или переставал работать.

Заключение

Взятые вместе, многочисленные экстренные обновления подтверждают более широкую реальность: несмотря на значительные инвестиции в безопасные по умолчанию конфигурации, экосистема Microsoft остается ценной целью для злоумышленников. Поскольку Office по-прежнему глубоко интегрирован в корпоративные рабочие процессы по всему миру, даже однократное обходное решение может иметь крайне серьезные последствия.

Для специалистов по защите вывод очевиден. Быстрое обновление программного обеспечения, обучение пользователей основам безопасности и многоуровневые средства защиты, такие как фильтрация электронной почты, обнаружение и реагирование на угрозы на конечных устройствах (EDR) и изоляция приложений, остаются крайне важными. Для Microsoft этот инцидент вновь усилил давление на компанию с целью ускорения выпуска обновлений для более старых поддерживаемых продуктов и более четкого донесения рекомендаций по устранению угроз.