Microsoft łata aktywnie wykorzystywany 0-day w Office (CVE-2026-21509) – obejście zabezpieczeń OLE/COM i pilne działania dla adminów

Wprowadzenie do problemu / definicja luki

Pod koniec stycznia 2026 Microsoft wydał awaryjne, pozacykliczne poprawki (out-of-band) dla podatności 0-day w Microsoft Office, która – co najważniejsze – była już aktywnie wykorzystywana w atakach. Luka otrzymała identyfikator CVE-2026-21509 i jest klasyfikowana jako Security Feature Bypass: nie chodzi więc o „klasyczne RCE”, ale o ominięcie mechanizmów ochronnych w Office związanych z kontrolkami COM/OLE.

W skrócie

• CVE: CVE-2026-21509
• Typ: obejście zabezpieczeń (Security Feature Bypass), powiązane z decyzjami bezpieczeństwa opartymi o niezaufane dane (CWE-807)
• Wektor CVSS (CNA/Microsoft): 7.8 HIGH, AV:L / UI:R (wymagane działania użytkownika)
• Warunek ataku: dostarczenie spreparowanego pliku Office i nakłonienie ofiary do otwarcia; Preview Pane nie jest wektorem ataku
• Zakres: wiele wersji Office (m.in. 2016/2019/LTSC/365); dla części wydań ochrona ma być realizowana „po stronie usługi” i wymaga restartu aplikacji
• KEV: podatność trafiła do kontekstu Known Exploited Vulnerabilities (KEV); w danych NVD widać m.in. Date Added: 2026-01-26 oraz Due Date: 2026-02-16

Kontekst / historia / powiązania

Ataki na łańcuch „dokument → elementy OLE/COM → uruchomienie niebezpiecznej logiki” to stały motyw kampanii phishingowych i malware’owych. W tym przypadku Microsoft jasno wskazuje, iż aktualizacja dotyczy obejścia „OLE mitigations”, czyli mechanizmów ograniczających ryzyko podatnych kontrolek COM/OLE. To ważna wskazówka: choćby jeżeli sam błąd nie jest „pełnym RCE”, to może otwierać drogę do kolejnych etapów ataku (np. uruchomienia komponentów, które powinny zostać zablokowane przez polityki/mitigacje).

Analiza techniczna / szczegóły luki

Co wiemy na pewno (z advisory i opisów technicznych)

• Opis z NVD (na podstawie danych od CNA/Microsoft): „Reliance on untrusted inputs in a security decision in Microsoft Office…” – czyli mechanizm decyzyjny bezpieczeństwa może zostać oszukany przez niezaufane wejście.
• Microsoft i media branżowe łączą problem bezpośrednio z OLE/COM i mechanizmami ochrony („OLE mitigations”).

Warunki exploitacji

• Atak lokalny (AV:L) i wymagana interakcja użytkownika (UI:R): typowy scenariusz to phishing / spearphishing z załącznikiem Office lub plikiem pobieranym z internetu, który użytkownik otwiera.
• Microsoft podkreśla, iż Preview Pane nie jest wektorem, ale otwarcie pliku przez użytkownika już tak.

Mitigacja „kill bit” (COM Compatibility)

W materiałach opisano obejście zmniejszające ryzyko (szczególnie gdy łatka nie pozostało dostępna dla danej edycji): w rejestrze Windows, w gałęzi COM Compatibility, tworzy się klucz dla konkretnego CLSID i ustawia wartość Compatibility Flags = 0x400. To podejście przypomina klasyczne „kill bity” blokujące problematyczne komponenty COM/ActiveX.

Praktyczne konsekwencje / ryzyko

1. Realne ryzyko operacyjne: aktywne wykorzystanie „in-the-wild” oznacza, iż kampanie już trwają, a PoC nie jest konieczny, by zobaczyć skutki w organizacji.
2. Bypass zabezpieczeń to często początek łańcucha: ominięcie mitigacji OLE/COM może zwiększyć skuteczność ataków dokumentowych i obniżyć próg wejścia dla kolejnych technik (np. uruchomienia komponentu, który miał być zablokowany).
3. Presja czasowa dla organizacji: NVD wskazuje, iż CVE jest powiązane z KEV i ma datę „due date” 16 lutego 2026 (co praktycznie wymusza szybkie domknięcie tematu w patch management).

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „od najpilniejszych” – tak, żeby dało się je wdrożyć choćby w dużym środowisku:

1) Zweryfikuj, które edycje Office są w użyciu

• Zidentyfikuj: Office 2016, Office 2019, LTSC 2021/2024, Microsoft 365 Apps – podatność dotyczy wielu linii produktowych.

2) Wymuś aktualizacje / restart aplikacji Office

• Dla części wersji (Office 2021 i nowsze / M365) Microsoft wskazuje ochronę przez service-side change, ale z warunkiem: użytkownicy muszą zrestartować aplikacje Office, aby mechanizm zaczął działać. W praktyce: komunikat do użytkowników + wymuszenie restartu (np. po logoffie, przez narzędzia EDR/ITSM).

3) jeżeli łatka nie jest dostępna dla Twojej edycji – zastosuj mitigację rejestrową

• Jeżeli masz środowiska, gdzie update jeszcze nie dotarł (w materiałach wskazywano opóźnienia dla 2016/2019), rozważ tymczasową mitigację w rejestrze w gałęziach COM Compatibility z ustawieniem Compatibility Flags = 0x400 dla wskazanego CLSID. Najbezpieczniej wdrożyć to jako kontrolowany GPO/Intune remediation (z backupem i rollbackiem).

4) Utwardź warstwę „dokumenty z internetu”

• Utrzymuj / egzekwuj Protected View oraz polityki ograniczające uruchamianie zawartości aktywnej z plików pobranych z internetu (MOTW). Microsoft wprost wskazuje, iż ustawienia ochronne typu Protected View dają dodatkową warstwę obrony.

5) Hunting i detekcja

• Potraktuj incydent jak „kampanię dokumentową”: poluj na nietypowe załączniki Office, wzrost otwarć plików z maili zewnętrznych, anomalie procesów potomnych Office (WinWord/Excel/PowerPoint) i zdarzenia związane z COM/OLE.
• Microsoft wspomina o dostępnych detekcjach w Defenderze (warto upewnić się, iż sygnatury/telemetria są aktualne).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• 0-day „bypass” vs „RCE”: CVE-2026-21509 nie jest opisywany jako klasyczne zdalne wykonanie kodu bez udziału użytkownika – tu najważniejsze są interakcja użytkownika i ominięcie mechanizmu ochrony. To często mniej „medialne”, ale w praktyce równie groźne, bo zwiększa skuteczność dobrze znanych technik (phishing + dokument).
• Mitigacja typu kill bit: użycie COM Compatibility i flag kompatybilności mocno przypomina historyczne podejście do blokowania podatnych komponentów ActiveX/COM – to sygnał, iż problem może dotyczyć „konkretnego obiektu/klasy” w ekosystemie OLE/COM.

Podsumowanie / najważniejsze wnioski

• CVE-2026-21509 to aktywnie wykorzystywany 0-day w Microsoft Office, sklasyfikowany jako obejście zabezpieczeń OLE/COM.
• Priorytetem jest szybka redukcja ekspozycji: aktualizacje, wymuszenie restartu Office tam, gdzie ochrona jest „service-side”, oraz mitigacje rejestrowe w środowiskach, które czekają na patch.
• Traktuj temat jak incydent „high urgency”: NVD wskazuje powiązanie z KEV i termin działań do 16 lutego 2026.

Źródła / bibliografia

1. BleepingComputer – opis OOB patch, zakres wersji, mitigacje rejestrowe, komentarz Microsoft (BleepingComputer)
2. NVD (NIST) – CVSS 3.1 (CNA), opis, CWE-807, informacja o KEV (date added / due date) (nvd.nist.gov)
3. The Hacker News – podsumowanie techniczne, restart aplikacji, wersje/aktualizacje, kroki mitigacji (The Hacker News)
4. SecurityWeek – kontekst „in-the-wild”, brak szczegółów o kampanii, ogólna ocena ryzyka (SecurityWeek)
5. The Register – dodatkowe tło i ujęcie operacyjne dla OOB patch (The Register)