Microsoft выпустила внеплановые патчи для критической уязвимости в Microsoft Office, которая уже активно используется злоумышленниками в реальных атаках. Проблема затрагивает практически всю современную линейку продуктов Office — от Office 2016 и Office 2019 до Microsoft 365 Apps for Enterprise, что делает инцидент значимым как для домашних пользователей, так и для корпоративных сред.
Описание уязвимости CVE-2026-21509 и ее критичность
Уязвимость получила идентификатор CVE-2026-21509 и оценку 7,8 по шкале CVSS, что соответствует уровню «High». Проблема связана с обходом механизмов защиты при работе с COM/OLE-компонентами, которые Office использует для взаимодействия между приложениями и встроенными объектами.
По информации Microsoft, уязвимость возникает из-за того, что Office принимает решения о безопасности, полагаясь на недоверенные входные данные. Это создает возможность для неавторизованного злоумышленника обойти локальные механизмы защиты и выполнить потенциально опасные действия на системе пользователя.
Речь идет об обходе защиты, а не о классической удаленной эксплуатации без участия пользователя. Тем не менее, такие баги часто используются на ранних этапах атак, чтобы обойти встроенные ограничения и усилить последствия успешной фишинговой кампании или компрометации документа.
Как осуществляется атака через вредоносный документ Office
Для успешной эксплуатации CVE-2026-21509 атакующему требуется подготовить специально сконструированный файл Office и убедить пользователя открыть его вручную. Типичный сценарий — фишинговое письмо с вложенным документом или ссылкой на файл, замаскированный под счет, резюме, служебную записку или документ от «партнера».
Важная деталь: панель предварительного просмотра не используется как вектор атаки. То есть одного только наведения курсора в проводнике или предпросмотра файла недостаточно — документ должен быть именно открыт пользователем. Это не снижает риск для организаций, где сотрудники ежедневно обрабатывают множество документов из внешних источников.
Подобные сценарии давно являются одним из ключевых каналов проникновения вредоносного ПО. Отчеты отрасли (например, ежегодный Verizon Data Breach Investigations Report) регулярно фиксируют, что документы Office и фишинг-письма остаются одной из самых результативных тактик атакующих.
Какие версии Microsoft Office уязвимы и как распространяются патчи
По данным Microsoft, уязвимость затрагивает Office 2016, Office 2019, Office 2021 и Microsoft 365 Apps for Enterprise. Для более новых редакций, включая Office 2021 и Microsoft 365, компания задействовала серверную модель обновления: соответствующие изменения применяются на стороне инфраструктуры Microsoft.
Пользователям этих версий не требуется вручную устанавливать отдельный патч, однако необходимо перезапустить приложения Office, чтобы новые правила защиты начали действовать. В корпоративной среде это особенно важно при работе на терминальных серверах и в VDI-инфраструктуре, где пользователи редко закрывают приложения полностью.
Для владельцев Office 2016 и Office 2019 с 26 января 2026 года доступны отдельные обновления безопасности. Их следует установить через стандартные каналы — Windows Update, службы обновления в организациях или автономные пакеты. Откладывание установки повышает риск успешной атаки, учитывая, что уязвимость уже эксплуатируется в дикой природе.
Временные меры защиты: настройка реестра Windows
Создание ключа COM Compatibility для блокировки опасного компонента
В дополнение к обновлениям Microsoft предлагает пользователям и администраторам альтернативную или временную меру защиты через реестр Windows. Рекомендуется создать ключ с идентификатором {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} в разделе COM Compatibility и добавить параметр Compatibility Flags со значением 0x400 (шестнадцатеричное 400). Это позволяет ограничить использование конкретного COM-компонента, задействованного в уязвимом сценарии.
Расположение ключей реестра для разных установок Office
Точное расположение ветки реестра зависит от типа установки Office (MSI или Click-to-Run) и разрядности операционной системы. Для наиболее распространенных вариантов, указанных Microsoft, путь выглядит следующим образом:
Для 64-битного MSI Office на 64-битной Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\
Для 32-битного MSI Office на 64-битной Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\
Работа с реестром требует повышенной осторожности: ошибки в настройках могут привести к сбоям приложений. В корпоративной среде рекомендуется применять эти изменения централизованно, через Group Policy или системы управления конфигурациями, предварительно протестировав их на пилотной группе.
Кто обнаружил уязвимость и что известно об атаках
Microsoft подчеркивает, что уязвимость была обнаружена внутренними командами компании. Над выявлением и анализом CVE-2026-21509 работали эксперты Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC) и команда безопасности продуктов Office.
Компания подтверждает, что уязвимость уже активно эксплуатируется злоумышленниками, однако подробности об используемых группах, масштабах атак или цепочках компрометации не раскрываются. Это стандартная практика: ограничение деталей снижает вероятность быстрого тиражирования атак менее подготовленными злоумышленниками.
Microsoft вновь напоминает пользователям о базовых принципах цифровой гигиены: избегать открытия и редактирования файлов Office, полученных из неизвестных или ненадежных источников, и внимательно относиться к системным предупреждениям безопасности, не игнорируя их по привычке.
С учетом того, что CVE-2026-21509 уже используется в реальных атаках, приоритетными шагами для компаний и частных пользователей должны стать: оперативная установка внеплановых обновлений Microsoft Office, перезапуск всех приложений пакета, при необходимости — внедрение предложенной настройки реестра, а также усиление обучения сотрудников распознаванию фишинговых писем и подозрительных документов. Регулярное обновление ПО, минимизация доверия к входящим файлам и строгие политики работы с вложениями остаются одними из самых эффективных и при этом наименее затратных мер защиты от подобных угроз.
