Microsoft heeft maandag out-of-band beveiligingspatches uitgegeven voor een zeer ernstige zero-day-kwetsbaarheid in Microsoft Office die bij aanvallen wordt uitgebuit.
De kwetsbaarheid, bijgehouden als CVE-2026-21509heeft een CVSS-score van 7,8 uit 10,0. Het is beschreven als een omzeiling van een beveiligingsfunctie in Microsoft Office.
“Door te vertrouwen op niet-vertrouwde input bij een beveiligingsbeslissing in Microsoft Office kan een ongeautoriseerde aanvaller een beveiligingsfunctie lokaal omzeilen”, aldus de technologiegigant in een advies.
“Deze update verhelpt een kwetsbaarheid die OLE-beperkingen in Microsoft 365 en Microsoft Office omzeilt, die gebruikers beschermen tegen kwetsbare COM/OLE-controles.”
Succesvol misbruik van de fout is afhankelijk van het feit dat een aanvaller een speciaal vervaardigd Office-bestand verzendt en de ontvangers ervan overtuigt dit te openen. Het merkte ook op dat het voorbeeldvenster geen aanvalsvector is.
De Windows-maker zei dat klanten met Office 2021 en later automatisch worden beschermd via een wijziging aan de servicezijde, maar dat ze hun Office-applicaties opnieuw moeten opstarten om dit van kracht te laten worden. Voor degenen die Office 2016 en 2019 gebruiken, is het vereist om de volgende updates te installeren:
- Microsoft Office 2019 (32-bits editie) – 16.0.10417.20095
- Microsoft Office 2019 (64-bit editie) – 16.0.10417.20095
- Microsoft Office 2016 (32-bits editie) – 16.0.5539.1001
- Microsoft Office 2016 (64-bits editie) – 16.0.5539.1001
Als oplossing dringt het bedrijf er bij klanten op aan een Windows-registerwijziging door te voeren door de onderstaande stappen te volgen:
- Maak een back-up van het register
- Sluit alle Microsoft Office-toepassingen
- Start de Register-editor
- Zoek de juiste registersubsleutel –
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftOffice16.0CommonCOM-compatibiliteit voor 64-bit MSI Office of 32-bit MSI Office op 32-bit Windows
- HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeMicrosoftOffice16.0CommonCOM-compatibiliteit voor 32-bit MSI Office op 64-bit Windows
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftOfficeClickToRunREGISTRYMACHINESoftwareMicrosoftOffice16.0CommonCOM-compatibiliteit voor 64-bits Click2Run Office of 32-bits Click2Run Office op 32-bits Windows
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftOfficeClickToRunREGISTRYMACHINESoftwareWOW6432NodeMicrosoftOffice16.0CommonCOM-compatibiliteit voor 32-bits Click2Run Office op 64-bits Windows
- Voeg een nieuwe subsleutel toe met de naam {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} door met de rechtermuisknop op het COM-compatibiliteitsknooppunt te klikken en Sleutel toevoegen te kiezen.
- Voeg binnen die subsleutel een nieuwe waarde toe door met de rechtermuisknop op de nieuwe subsleutel te klikken en Nieuw > DWORD (32-bit)-waarde te kiezen
- Voeg een REG_DWORD hexadecimale waarde toe met de naam “Compatibiliteitsvlaggen” met een waarde van 400
- Sluit de Register-editor af en start de Office-toepassing
Microsoft heeft geen details gedeeld over de aard en de omvang van de aanvallen waarbij gebruik wordt gemaakt van CVE-2026-21509. Het heeft het Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC) en het Office Product Group Security Team gecrediteerd voor het ontdekken van het probleem.
De ontwikkeling heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet om de fout toe te voegen aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor de Federal Civilian Executive Branch (FCEB)-agentschappen de patches vóór 16 februari 2026 moeten toepassen.
