Microsoft випустила екстрене оновлення для виправлення високоризикової уразливості в Office, яка активно експлуатується зловмисниками як zero-day. Вразливість дозволяє атакуючим обходити захисні механізми та виконувати шкідливе ПЗ на комп’ютерах жертв.
Відомство кібербезпеки США (CISA) вже додало цю вразливість до каталогу Known Exploited Vulnerabilities (KEV), що свідчить про активні атаки в реальному світі. Проте Microsoft не розкрила, хто стоїть за атаками та хто став жертвами.
Що відомо про уразливість CVE-2026-21509
Помилка класифікується як security bypass flaw. За поясненням National Vulnerability Database (NVD), Microsoft Office приймав рішення щодо безпеки на основі ненадійних вхідних даних. Зловмисники експлуатували цю слабкість для виконання malware, крадіжки облікових даних та латерального переміщення мережею.
Вразливість отримала оцінку серйозності 7.8/10 (високий рівень). “Це оновлення усуває вразливість, яка обходить OLE-захист в Microsoft 365 та Microsoft Office, що захищають користувачів від вразливих COM/OLE контролів”, — йдеться в порадах Microsoft з безпеки.
Як встановити патч
Користувачі Office 2021 та новіших версій не повинні робити нічого, окрім перезапуску Office-додатків — патч буде встановлений на стороні сервера автоматично.
Для користувачів Office 2016 та 2019 необхідно встановити такі оновлення:
- Microsoft Office 2019 (32-bit edition) – 16.0.10417.20095
- Microsoft Office 2019 (64-bit edition) – 16.0.10417.20095
- Microsoft Office 2016 (32-bit edition) – 16.0.5539.1001
- Microsoft Office 2016 (64-bit edition) – 16.0.5539.1001
Альтернативні методи захисту
Якщо з якоїсь причини ви не можете встановити патчі, Microsoft рекомендує внести зміни до реєстру Windows як тимчасове рішення. Детальну покрокову інструкцію компанія опублікувала в офіційному бюлетені безпеки.
Оскільки атаки вже відбуваються, експерти з кібербезпеки радять негайно встановити оновлення. Невідомо, чи призвели поточні атаки до значних крадіжок даних або ransomware-інцидентів, але затримка з патчем може мати серйозні наслідки для організацій.
