Уязвимость в MS Office затрагивает как версии 2016, так и 2019 года, однако для них не выпущены исправления — доступны лишь инструкции по изменению записей в системном реестре, чтобы «снизить риск».
Компания Microsoft опубликовала внеочередное обновление, направленное на устранение опасной уязвимости в Microsoft Office, которую уже активно используют злоумышленники.
За прошедшие две недели это уже не первый срочный выпуск исправлений для различных ошибок в продуктах Microsoft.
Данная уязвимость имеет идентификатор CVE-2026-21509 и влияет на несколько версий Microsoft Office, включая: Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024, а также облачный сервис Microsoft 365 Apps for Enterprise.
В официальном сообщении Microsoft проблема описана так: «Использование непроверенных данных при принятии решений, связанных с безопасностью в Microsoft Office, позволяет неавторизованному злоумышленнику обойти локальные механизмы защиты».
По шкале CVSS уязвимость оценивается в 7,8 балла, что соответствует высокому (субкритическому) уровню опасности.
Хотя вектор атаки указан как «локальный», это связано с необходимостью взаимодействия с конечным пользователем (и его непреднамеренного участия). Злоумышленнику требуется отправить жертве вредоносный файл Office и добиться его открытия на целевом устройстве.
«Данное обновление устраняет уязвимость, позволяющую обходить защитные механизмы, реализованные в Microsoft 365 и Microsoft Office для защиты пользователей от уязвимых элементов управления COM/OLE», — отмечается в сообщении Microsoft.
OLE (Object Linking and Embedding) — это технология, которая позволяет внедрять в документы Office объекты, созданные в других приложениях, либо ссылки на них. Например, с её помощью можно вставить интерактивную диаграмму из Excel в документ Word, чтобы изменения в исходной диаграмме автоматически отображались в документе.
Однако технология OLE часто становится инструментом для злоупотреблений со стороны киберпреступников. Похоже, предыдущие меры защиты от эксплуатации OLE, принятые Microsoft, оказались недостаточно эффективными, что потребовало выпуска нового исправления.
Примечательно, что для Office 2016 и 2019 обновления пока не предоставлены. Microsoft опубликовала руководство по редактированию системного реестра, которое должно «снизить серьёзность проблемы».
Пользователям рекомендуется открыть редактор реестра Regedit и проверить наличие следующих ключей:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftOffice16.0CommonCOM Compatibility (для 64-разрядного Office или 32-разрядного Office на 32-разрядной Windows)
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeMicrosoftOffice16.0CommonCOM Compatibility (для 32-разрядного Office на 64-разрядной Windows)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftOfficeClickToRunREGISTRYMACHINESoftwareMicrosoftOffice16.0CommonCOM Compatibility
HKEY_LOCAL_MACHINESOFTWAREMicrosoftOfficeClickToRunREGISTRYMACHINESoftwareWOW6432NodeMicrosoftOffice16.0CommonCOM Compatibility
В случае отсутствия данных разделов, необходимо в реестре по пути HKEY_LOCAL_MACHINESOFTWAREMicrosoftOffice16.0Common создать новый ключ с именем COM Compatibility, а внутри него — параметр {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}.
Далее требуется создать значение типа DWORD (32 бита), присвоить ему имя Compatibility Flags и убедиться, что для параметра Base установлен формат Hexadecimal, а для Value — значение 400.
Завершив эти действия, следует перезапустить приложения Microsoft Office.
На данный момент Microsoft не предоставила дополнительных разъяснений.
«Стоит отметить, что для Microsoft является обычной практикой выпускать исправления для ранее вышедших обновлений, при этом технология OLE по-прежнему представляет собой возможный канал для атак, — отмечает Дмитрий Пешков, специалист по кибербезопасности компании SEQ. — Однако в данной ситуации атака неосуществима без элементов социальной инженерии, что смещает фокус с уязвимости программного обеспечения на человеческий фактор. Защититься от подобных угроз можно лишь благодаря обучению конечных пользователей и их умению распознавать мошеннические схемы, фишинг и методы социального воздействия».
По информации издания BleepingComputer, ежемесячный набор исправлений January 2026 Patch Tuesday включал в себя патчи для 114 уязвимостей, причём одна из них уже использовалась злоумышленниками, а сведения о двух других были обнародованы ранее.
После выпуска этого накопительного обновления Microsoft опубликовала целую серию внеочередных патчей. Часть из них решала проблемы с Cloud PC, возникшие сразу после установки основного обновления. Другие исправляли ошибки в клиенте Outlook, которые приводили к его зависанию и нестабильной работе.
