CVE-2026-21509

Nome do Software Vulnerável e Versões Afetadas Microsoft Office versões 2016 a 2019 Microsoft Office LTSC versões 2021 a 2024 Microsoft 365 Apps (versões afetadas não especificadas)

Descrição Este problema é causado pela dependência de entradas não confiáveis ao tomar decisões de segurança, o que permite que um invasor não autorizado ignore recursos de segurança localmente. Especificamente, a falha permite contornar os mecanismos de segurança do Object Linking and Embedding (OLE). Um invasor pode explorar isso convencendo um usuário a abrir um documento especialmente elaborado (como arquivos RTF ou DOC), levando à execução automática de código arbitrário sem interação adicional do usuário. Esse processo geralmente envolve o acionamento de uma conexão WebDAV para recuperar cargas maliciosas.

A exploração no mundo real foi observada em campanhas de espionagem sofisticadas pelo grupo de ameaças APT28 (Fancy Bear). Esses ataques visaram entidades militares, governamentais, diplomáticas e de transporte na Ucrânia, Eslováquia, Romênia, Polônia e outras nações europeias. A cadeia de exploração foi usada para implantar várias cargas, incluindo o backdoor Outlook VBA "NotDoor", o implante C++ "BeardShell" e o carregador "Covenant Grunt". Os invasores também utilizaram serviços de nuvem legítimos para a infraestrutura de comando e controle (C2) para evitar a detecção.

Recomendações Para o Microsoft Office 2016, instale a atualização de segurança KB5002713. Para o Microsoft Office 2019, atualize para a Build 10417.20095. Para o Microsoft Office LTSC 2021 e 2024, instale a atualização de segurança de fevereiro de 2026. Como mitigação temporária para todas as versões afetadas, crie uma nova subchave de registro {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} sob o nó COM Compatibility (localizado em HKEY LOCAL MACHINESOFTWAREMicrosoftOffice16.0CommonCOM Compatibility ou seus caminhos correspondentes de 32 bits/ClickToRun) e adicione um valor REG DWORD chamado Compatibility Flags definido como 400 para bloquear o componente OLE vulnerável Shell.Explorer.1.