Microsoft оголосила про випуск позапланових оновлень безпеки для усунення критичної уразливості в пакеті Microsoft Office, яка вже використовується зловмисниками в реальних атаках. Проблема зачіпає практично всю актуальну лінійку продуктів — від Office 2016, Office 2019 та Office 2021 до Microsoft 365 Apps for Enterprise, що робить інцидент однаково важливим як для домогосподарств, так і для корпоративних середовищ.
Уразливість CVE-2026-21509: суть проблеми та рівень ризику
Дефект отримав ідентифікатор CVE-2026-21509 та оцінку 7,8 за шкалою CVSS, що відповідає рівню High. Уразливість пов’язана з обходом механізмів безпеки при роботі з COM/OLE-компонентами, які Office застосовує для взаємодії між додатками та вбудованими об’єктами.
За даними Microsoft, проблема виникає через те, що Office ухвалює рішення з безпеки, спираючись на недостовірні вхідні дані. Це дає змогу неавторизованому зловмиснику обійти локальні обмеження безпеки і виконати дії, які зазвичай блокуються політиками захисту.
Йдеться не про класичну «віддалену експлуатацію без участі користувача», а саме про обхід існуючих захисних бар’єрів. Однак на практиці подібні уразливості часто використовуються на ранніх етапах атак: для посилення ефекту успішної фішингової кампанії, запуску ланцюжка шкідливих дій або обходу обмежень «захищеного режиму» документів.
Сценарій атаки: шкідливий документ Office та фішинг
Для експлуатації CVE-2026-21509 зловмиснику потрібно підготувати спеціально сформований файл Office і переконати користувача відкрити його вручну. Найтиповіший сценарій — фішинговий лист із вкладенням або посиланням на документ, замаскований під рахунок, контракт, резюме, службову записку чи документ від «надійного партнера».
Важливий нюанс: панель попереднього перегляду не є вектором атаки. Простого наведення курсору в провіднику або перегляду файлу в режимі preview недостатньо — документ має бути повністю відкритий користувачем. Водночас для організацій, де щодня обробляють десятки вхідних документів, цей ризик залишається суттєвим.
Згідно з численними галузевими звітами (наприклад, Verizon Data Breach Investigations Report), фішинг та документи Office багато років залишаються одним з найрезультативніших каналів початкового проникнення в корпоративні мережі. Нові уразливості в офісних пакетах миттєво вбудовуються в арсенал фішингових кампаній.
Які версії Microsoft Office уразливі та як надходять оновлення
За інформацією Microsoft, уразливість впливає на Office 2016, Office 2019, Office 2021 та Microsoft 365 Apps for Enterprise. Для більш нових редакцій, зокрема Office 2021 та Microsoft 365, компанія застосувала серверну модель розгортання змін, коли частина захисної логіки оновлюється з боку інфраструктури Microsoft.
Користувачам цих редакцій не потрібно завантажувати окремий патч, проте необхідно перезапустити всі програми Office, щоб нові правила безпеки набули чинності. У корпоративних середовищах, особливо на термінальних серверах і в VDI, де додатки можуть не закриватися тижнями, це критичний крок.
Для користувачів Office 2016 та Office 2019 з 26 січня 2026 року доступні окремі оновлення безпеки. Їх слід встановити через Windows Update, корпоративні служби оновлень або автономні інсталяційні пакети. Затримка з установкою підвищує ризик успішної атаки, оскільки уразливість уже активно експлуатується «в дикій природі».
Тимчасовий захист через реєстр Windows
Блокування вразливого COM-компонента
На додаток до офіційних патчів Microsoft пропонує тимчасову або альтернативну міру захисту через реєстр Windows. Рекомендовано створити ключ з ідентифікатором {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} у гілці COM Compatibility і додати параметр Compatibility Flags зі значенням 0x400 (шістнадцяткове 400). Це блокує використання конкретного COM-компонента, задіяного в уразливому сценарії.
Шляхи реєстру для різних варіантів інсталяції Office
Розташування потрібної гілки залежить від типу встановлення Office (MSI чи Click-to-Run) та розрядності ОС. Для найпоширеніших MSI-інсталяцій Microsoft наводить такі шляхи:
64-бітний MSI Office на 64-бітній Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\
32-бітний MSI Office на 64-бітній Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\
Робота з реєстром вимагає підвищеної обережності: помилкові зміни можуть спричинити збої роботи додатків. У корпоративних мережах доцільно застосовувати ці налаштування централізовано — через Group Policy або системи керування конфігураціями, попередньо протестувавши їх на обмеженій групі користувачів.
Хто виявив уразливість і що відомо про атаки
За повідомленням Microsoft, уразливість була виявлена внутрішніми командами компанії — Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC) та командою безпеки продуктів Office. Це свідчить про активну роботу з проактивного пошуку слабких місць у власних продуктах.
Компанія підтверджує, що CVE-2026-21509 вже експлуатується у реальних атаках, але не розкриває деталей щодо конкретних угруповань, масштабів чи повних ланцюжків компрометації — така практика покликана ускладнити швидке копіювання технік менш підготовленими зловмисниками.
На тлі цієї уразливості особливої ваги набувають базові принципи «цифрової гігієни»: не відкривати файли Office з невідомих або неперевірених джерел, уважно ставитися до попереджень безпеки, обмежувати використання макросів і посилювати навчання персоналу розпізнаванню фішингових листів.
З огляду на те, що CVE-2026-21509 уже задіяна в атаках, пріоритетними кроками для організацій та домашніх користувачів мають стати: оперативне встановлення позапланових оновлень Microsoft Office, повний перезапуск додатків пакета, за потреби — впровадження рекомендованих змін у реєстрі, а також посилення контролю над вхідними документами. Регулярне оновлення ПЗ, мінімізація довіри до вкладень електронної пошти та впровадження строгих політик обробки файлів залишаються одними з найефективніших і водночас відносно недорогих інструментів захисту від подібних загроз.
