Microsoft экстренно заделывает «дыру» в Office последних версий

Уязвимость в MS Office затрагивает и Microsoft Office 2016, и Microsoft Office 2019, но для этих пакетов исправлений нет, только рекомендации по редактированию системного реестра «для снижения угрозы».

Ожидаемо внеплановое обновление

Корпорация Microsoft выпустила внеплановое обновление для высокоопасной уязвимости в Microsoft Office, которую уже активно эксплуатируют хакеры.

За последние две недели это уже далеко не первый внеплановый выпуск патчей к различным «багам» в продуктах Microsoft.

Что касается нынешней уязвимости, то она отслеживается под индексом CVE-2026-21509 и затрагивает сразу несколько версий Microsoft Office, в том числе: Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 и облачный сервис Microsoft 365 Apps for Enterprise.

В собственном бюллетене Microsoft проблема описывается следующим образом: «Использование ненадежных данных при принятии решений по безопасности в Microsoft Office позволяет неавторизованному злоумышленнику обойти локальные функции безопасности».

Angel Bena / Pexels Уязвимость в MS Office затрагивает и Microsoft Office 2016, и Microsoft Office 2019, но для них исправлений нет

Оценка по шкале CVSS составляет 7,8 балла, что соответствует высокой (субкритической) степени угрозы.

Хотя вектор атаки обозначен как «локальный», это связано с тем, что для её успешной реализации потребуется взаимодействие с конечным пользователем (и его невольное соучастие). Злоумышленнику потребуется отправить потенциальной жертве вредоносный файл Office и добиться его открытия на целевой машине.

«Это обновление устраняет уязвимость, позволяющую обходить защитные меры, реализованные в Microsoft 365 и Microsoft Office, которые предохраняют пользователей от уязвимых средств управления COM/OLE», - указывается в публикации Microsoft.

OLE - Object Linking and Embedding - это технология, позволяющая встраивать в документы Office сторонние объекты (созданные в других программах) напрямую или внедрять ссылки на них. Например, это позволяет встраивать диаграммы из Excel в Word, сохраняя интерактивность, так что изменения в диаграмме, внесённые в Excel, будут отображаться и в конечном документе Word.

Однако, OLE нередко является объектом злоупотреблений со стороны киберзлоумышленников. Судя по всему, прежние меры, предпринятые Microsoft для защиты от эксплуатации OLE, оказались не слишком эффективными и потребовался новый патч.

Характерно, что для Office 2016 и 2019 обновлений (ещё) нет. Microsoft выпустила инструкции по редактированию системного реестра, которые позволят «снизить остроту проблемы».

Пользователям предлагается открыть редактор реестра Regedit и проверить наличие следующих ключей:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\ (for 64-bit Office, or 32-bit Office on 32-bit Windows)

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ (for 32-bit Office on 64-bit Windows)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\

Если ни одного из них нет, то по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\ требуется создать новый ключ COM Compatibility и присвоить ему наименование {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}.

Затем создать новое значение DWORD (32-bit) Value и переименовать его в Compatibility Flags. И затем удостовериться, что пункт Base имеет значение Hexadecimal, а Value равно 400.

После этого Office предлагается перезапустить.

Других подробностей Microsoft пока не представила.

Патчи этажеркой

«Приходится констатировать, что для Microsoft - довольно типично выпускать патчи для патчей, да и технология OLE остаётся потенциальным источником угроз, - говорит Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. - В данном случае, однако, речь идёт об атаке, невозможной без использования социальной инженерии, а следовательно, речь идёт об атаке не столько на программную уязвимость, сколько на человека. От таких атак спасти может только подготовленность конечных пользователей и навыки по распознаванию мошенничества, фишинга и социнженерии».

Как пишет издание BleepingComputer, кумулятивный патч January 2026 Patch Tuesday содержал исправления для 114 уязвимостей, из которых одна уже эксплуатировалась хакерами, а информация о двух других была уже опубликована.

После выхода кумулятивного патча Microsoft выпустила целую серию внеплановых обновлений. Часть устраняла проблемы с Cloud PC, возникшие аккурат после выхода кумулятивного патча. Ещё несколько обновлений исправляли ошибки в клиенте Outlook, вызывавшие зависание и отказы в работе.