Light Mode Dark Mode

Microsoft Office Zero-Day (CVE-2026-21509): Se emite un parche de emergencia debido a una explotación activa ~ Segu-Info

Microsoft ha lanzado
parches de emergencia para una vulnerabilidad Zero-Day en Microsoft Office que está siendo activamente explotada.

La vulnerabilidad, conocida como CVE-2026-21509 (CVSS 7.8), se describe
como una falta de seguridad en Microsoft Office.
«La utilización de datos no confiables en decisiones de seguridad dentro de Microsoft Office permite a un atacante no autorizado eludir una característica de seguridad localmente», indicó la compañía en un
aviso oficial.
«Esta actualización soluciona una brecha que elude las
mitigaciones OLE
en Microsoft 365 y Microsoft Office, protegiendo a los usuarios de controles COM/OLE vulnerables».

Para que la explotación de la vulnerabilidad tenga éxito, un atacante debe enviar un archivo de Office diseñado específicamente y convencer a los destinatarios para que lo abran.
Además, la compañía aclaró que el Panel de vista previa no es un vector de ataque.

Microsoft comunicó que los
clientes que utilicen Office 2021 y versiones posteriores estarán protegidos de forma automática
gracias a un cambio en el servicio, aunque deberán reiniciar sus aplicaciones de Office para que se aplique. Los usuarios de
Office 2016 y 2019 deberán instalar las siguientes actualizaciones:

  • Microsoft Office 2019 (edición de 32 bits) – 16.0.10417.20095
  • Microsoft Office 2019 (edición de 64 bits) – 16.0.10417.20095
  • Microsoft Office 2016 (edición de 32 bits) – 16.0.5539.1001
  • Microsoft Office 2016 (edición de 64 bits) – 16.0.5539.1001

Como medida de mitigación, la compañía recomienda a los clientes realizar un ajuste en el Registro de Windows siguiendo estos pasos.

Microsoft no ha proporcionado detalles sobre la naturaleza y el alcance de los ataques que están aprovechando CVE-2026-21509. La compañía agradeció al Centro de inteligencia de amenazas de Microsoft (MSTIC), al Centro de respuesta de seguridad de Microsoft (MSRC) y al equipo de seguridad del grupo de productos de Office por identificar el problema.

Esta situación ha llevado a CISA a
incorporar la vulnerabilidad
en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).

Fuente:
THN


Con Información de blog.segu-info.com.ar

Advertisement