CVE-2026-21509: zero-day no Microsoft Office sob ataque

A Microsoft liberou patches emergenciais para corrigir a CVE-2026-21509, uma vulnerabilidade zero-day explorada ativamente que permite contornar recursos de segurança no Microsoft Office. A falha afeta versões do Office 2016, 2019, LTSC 2021, LTSC 2024 e Microsoft 365 Apps for Enterprise, permitindo que invasores locais não autenticados explorem a brecha por meio de ataques de baixa complexidade que exigem interação do usuário.

A exploração ocorre quando um invasor envia ao usuário um arquivo malicioso do Office e o convence a abri-lo, contornando assim as mitigações de OLE que protegem contra controles COM e OLE vulneráveis. Embora o painel de visualização não seja um vetor de ataque, a dependência de informações não confiáveis em uma decisão de segurança permite que a vulnerabilidade seja explorada com êxito.

Sistemas afetados e correção disponível

As atualizações de segurança para o Microsoft Office LTSC 2021, LTSC 2024 e Microsoft 365 Apps for Enterprise já foram liberadas. Os clientes do Office 2021 e versões posteriores serão automaticamente protegidos por meio de uma alteração no serviço, mas precisam reiniciar seus aplicativos do Office para que a proteção tenha efeito. No entanto, as atualizações de segurança para o Microsoft Office 2016 e 2019 ainda não estão disponíveis e serão lançadas o mais breve possível, segundo o comunicado da empresa.

Para as versões ainda sem patch, a Microsoft forneceu medidas de mitigação que envolvem a criação de chaves específicas no registro do Windows. O processo requer o fechamento de todos os aplicativos do Microsoft Office, a criação de um backup do registro e a navegação até determinados caminhos no Editor de Registro para criar uma nova chave nomeada como um identificador COM específico. Depois de criar a chave e definir um valor DWORD chamado “Sinalizadores de compatibilidade” com dados hexadecimais específicos, a falha será atenuada na próxima vez que um aplicativo do Office for iniciado.