Microsoft выпустила экстренные внеплановые обновления безопасности (out-of-band), устраняющие критическую уязвимость «нулевого дня» в Microsoft Office, которая уже использовалась в реальных атаках.
Уязвимость обхода защитного механизма с идентификатором CVE-2026-21509 затрагивает сразу несколько версий Office, включая Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024, а также Microsoft 365 Apps for Enterprise (облачная версия по подписке).
В бюллетене безопасности отмечается, что обновления для Microsoft Office 2016 и 2019 пока недоступны и будут выпущены позднее.
Хотя панель предварительного просмотра не является вектором атаки, неаутентифицированные локальные злоумышленники могут успешно эксплуатировать уязвимость с помощью атак низкой сложности, которые требуют взаимодействия с пользователем.
Microsoft пояснила:
Использование недоверенных входных данных при принятии решений, связанных с безопасностью в Microsoft Office, позволяет неавторизованному атакующему локально обойти защитный механизм. Для этого злоумышленнику необходимо отправить пользователю вредоносный файл Office и убедить его открыть этот файл.
Данное обновление устраняет уязвимость, позволяющую обходить механизмы защиты OLE в Microsoft 365 и Microsoft Office, которые предназначены для защиты пользователей от уязвимых элементов управления COM/OLE.
Пользователи Office 2021 и более новых версий будут автоматически защищены за счет изменений на стороне сервиса, однако для применения защиты потребуется перезапуск приложений Office.
Хотя Office 2016 и 2019 на данный момент не получили полноценные исправления, Microsoft опубликовала меры по снижению риска, которые могут уменьшить серьезность эксплуатации.
Как снизить риск атак:
- Закройте все приложения Microsoft Office.
- Создайте резервную копию реестра Windows, так как некорректное редактирование может привести к проблемам в работе ОС.
Как создать резервную копию реестра Windows
Перед внесением изменений в реестр рекомендуется создать резервную копию, чтобы при необходимости можно было быстро восстановить систему.
- Нажмите Пуск, введите regedit и запустите редактор реестра.
- В верхнем меню выберите Файл > Экспорт.
- В разделе Диапазон экспорта выберите Весь реестр.
- Укажите имя файла и место сохранения, затем нажмите Сохранить.
Для восстановления реестра достаточно дважды щёлкнуть по сохранённому .reg-файлу и подтвердить импорт данных.
- Откройте редактор реестра Windows (regedit.exe), нажав кнопку «Пуск», введя regedit и нажав Enter.
- В открывшемся редакторе с помощью адресной строки вверху проверьте наличие одного из следующих разделов реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office.0\Common\COM Compatibility\ (для 64-битного Office или 32-битного Office на 32-битной Windows) HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office.0\Common\COM Compatibility\ (для 32-битного Office на 64-битной Windows) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office.0\Common\COM Compatibility\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office.0\Common\COM Compatibility\
Если ни один из указанных разделов отсутствует, создайте новый раздел COM Compatibility в следующем пути, щелкнув правой кнопкой мыши по разделу Common и выбрав Создать > Раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office.0\Common\
- Затем щелкните правой кнопкой мыши по существующему или только что созданному разделу COM Compatibility, выберите Создать > Раздел и задайте ему имя: {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}
- После создания раздела {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} щелкните по нему правой кнопкой мыши, выберите Создать > Параметр DWORD (32 бита) и назовите его Compatibility Flags.
- Дважды щелкните по параметру Compatibility Flags, убедитесь, что выбрана система счисления Шестнадцатеричная, и в поле значения введите 400.
После выполнения этих шагов уязвимость будет считаться смягченной при следующем запуске любого приложения Office.
Представитель Microsoft пояснил:
Мы рекомендуем затронутым пользователям следовать инструкциям, опубликованным на нашей странице CVE. Кроме того, Microsoft Defender уже содержит механизмы обнаружения, блокирующие эксплуатацию уязвимости, а включенный по умолчанию режим «Защищенный просмотр» обеспечивает дополнительный уровень защиты, блокируя вредоносные файлы, полученные из Интернета.
В рамках лучших практик безопасности пользователям следует проявлять осторожность при загрузке файлов из неизвестных источников и при включении режима редактирования, если об этом предупреждают системные уведомления.
Ранее в этом месяце, в рамках январского «Вторника патчей» 2026 года, Microsoft выпустила обновления безопасности для 114 уязвимостей, включая одну активно эксплуатируемую и две публично раскрытые уязвимости «нулевого дня».
Другой активно используемой уязвимостью «нулевого дня», устраненной в этом месяце, стала проблема раскрытия информации в Desktop Window Manager. Microsoft присвоила ей уровень важности «Важная». Она позволяла злоумышленникам читать адреса памяти, связанные с удаленным портом ALPC.
На прошлой неделе Microsoft также выпустила несколько внеплановых обновлений Windows для исправления проблем с выключением системы и Cloud PC, вызванных январскими обновлениями безопасности, а также отдельный набор экстренных исправлений, устраняющих проблемы с Outlook и облачными приложениями.
Последние статьи #Microsoft
• Microsoft закрыла активно эксплуатируемую уязвимость «нулевого дня» в Office
• Microsoft расследует сбои загрузки Windows 11 после установки январских обновлений
• Microsoft выпустила экстренные обновления для Windows 11 и Windows 10 – второй раз за месяц
• Обновление KB5078132 (Build 22631.6495) для Windows 11, версия 23H2
• Обновление KB5078127 (Build 26100.7628) для Windows 11, версия 24H2
• Обновление KB5078129 (Build 19045.6812) для Windows 10, версия 22H2 (ESU). Исправление проблемы с зависаниями и ошибками приложений