Microsoft · Office · CVE-2026-21509
**Nome do Software Vulnerável e Versões Afetadas**
Microsoft Office versões 2016 a 2019
Microsoft Office LTSC versões 2021 a 2024
Microsoft 365 Apps (versões afetadas não especificadas)
**Descrição**
Este problema é causado pela dependência de entradas não confiáveis ao tomar decisões de segurança, o que permite que um invasor não autorizado ignore recursos de segurança localmente. Especificamente, a falha permite contornar os mecanismos de segurança do Object Linking and Embedding (OLE). Um invasor pode explorar isso convencendo um usuário a abrir um documento especialmente elaborado (como arquivos RTF ou DOC), levando à execução automática de código arbitrário sem interação adicional do usuário. Esse processo geralmente envolve o acionamento de uma conexão WebDAV para recuperar cargas maliciosas.
A exploração no mundo real foi observada em campanhas de espionagem sofisticadas pelo grupo de ameaças APT28 (Fancy Bear). Esses ataques visaram entidades militares, governamentais, diplomáticas e de transporte na Ucrânia, Eslováquia, Romênia, Polônia e outras nações europeias. A cadeia de exploração foi usada para implantar várias cargas, incluindo o backdoor Outlook VBA "NotDoor", o implante C++ "BeardShell" e o carregador "Covenant Grunt". Os invasores também utilizaram serviços de nuvem legítimos para a infraestrutura de comando e controle (C2) para evitar a detecção.
**Recomendações**
Para o Microsoft Office 2016, instale a atualização de segurança KB5002713.
Para o Microsoft Office 2019, atualize para a Build 10417.20095.
Para o Microsoft Office LTSC 2021 e 2024, instale a atualização de segurança de fevereiro de 2026.
Como mitigação temporária para todas as versões afetadas, crie uma nova subchave de registro `{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}` sob o nó `COM Compatibility` (localizado em `HKEY LOCAL MACHINESOFTWAREMicrosoftOffice16.0CommonCOM Compatibility` ou seus caminhos correspondentes de 32 bits/ClickToRun) e adicione um valor `REG DWORD` chamado `Compatibility Flags` definido como `400` para bloquear o componente OLE vulnerável `Shell.Explorer.1`.