Microsoft выпустила внеплановое обновление для Microsoft Office, закрывающее уязвимость нулевого дня CVE-2026-21509. Компания предупреждает, что проблему уже используют в реальных атаках. Оценка по шкале CVSS 7,8, то есть высокий уровень риска. Уязвимость затрагивает Office 2016, 2019, 2021, 2024 и Microsoft 365.
Злоумышленнику достаточно прислать человеку документ и добиться, чтобы тот открыл файл. Никаких макросов, никаких сложных цепочек. Проблема в том, что Office неверно обрабатывает недоверенные данные и из-за этого может ошибочно пропускать опасные механизмы, которые обычно блокируются встроенной защитой.
Речь идет о технологиях, которые Office использует для связи документов с внешними объектами и компонентами системы. Эти механизмы давно считаются любимым инструментом атакующих, потому что через них проще подцепить исполнение чужого кода. В норме Office старается ограничивать такие вещи, но в данном случае обнаружилась лазейка, позволяющая обойти защитные проверки.
Важное уточнение: окно предпросмотра не является источником проблемы. То есть просто посмотреть вложение в почтовом клиенте недостаточно. Опасный момент наступает, когда документ открывают полностью.
Как Microsoft закрывает уязвимость
Для Office 2021, Office 2024 и Microsoft 365 обновления должны устанавливаться в обычном порядке, часто автоматически. Иногда требуется просто перезапуск приложений, чтобы подтянуть исправления.
Сложнее ситуация с Office 2016 и 2019. Для этих версий постоянные патчи на момент выхода сообщения еще не готовы. Microsoft предложила временную меру, которая требует правки системного реестра Windows. Это не идеальный вариант, но он снижает вероятность успешной атаки до выхода полноценных обновлений. Точных сроков для постоянного патча Microsoft не назвала.
Чем грозит уязвимость: реальные риски для вашего ПК и бизнеса
Microsoft подчеркивает, что уязвимость уже используется в целевых атаках. Обычно это выглядит как обычная деловая переписка, файл во вложении, формулировки под бухгалтерию, договоры, счета, резюме. Человек открывает документ, и дальше злоумышленник получает возможность развивать атаку.
После успешного использования уязвимости последствия зависят от того, что атакующий планировал. Это может быть кража данных, запуск вредоносной программы, установка шифровальщика или попытка закрепиться в системе, чтобы затем двигаться по корпоративной сети.
Что делать, если у вас Office 2016 или 2019
Первое и самое очевидное, обновить Office там, где патчи уже доступны. Второе, перестать относиться к документам как к безопасному формату по умолчанию. Если источник сомнительный, лучше не открывать.
Если вы используете Office 2016 или 2019, стоит внимательно прочитать рекомендации Microsoft по временной настройке через реестр. Параллельно имеет смысл включить режим защищенного просмотра для документов из интернета и вложений. Это не абсолютная защита, но она снижает шанс того, что документ сможет выполнить опасные действия сразу после открытия.
И еще одна практичная деталь. Microsoft Defender уже содержит защиту от эксплуатации этой уязвимости. Если встроенная защита отключена или заменена на устаревший антивирус без актуальных обновлений, это как минимум повод проверить настройки.
