Microsoft активно устраняет уязвимость нулевого дня в Office

Компания Microsoft выпустила экстренные внеочередные обновления для системы безопасности, устраняющие уязвимость нулевого дня в Microsoft Office, которая использовалась для атак.

Уязвимость, связанная с обходом функции безопасности, отслеживаемая как CVE-2026-21509, затрагивает несколько версий Office, включая Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 и Microsoft 365 Apps for Enterprise (облачный сервис подписки компании).

Однако, как отмечается в сегодняшнем сообщении, обновления для системы безопасности Microsoft Office 2016 и 2019 пока недоступны и будут выпущены в ближайшее время.

Хотя панель предварительного просмотра не является вектором атаки, злоумышленники, не прошедшие аутентификацию, всё равно могут успешно использовать уязвимость в ходе атак низкой сложности, требующих взаимодействия с пользователем.

«Использование ненадёжных входных данных при принятии решений по обеспечению безопасности в Microsoft Office позволяет злоумышленнику обойти локальную функцию безопасности. Злоумышленник должен отправить пользователю вредоносный файл Office и убедить его открыть его», — пояснили в Microsoft.

«Это обновление устраняет уязвимость, которая позволяет обходить средства защиты OLE в Microsoft 365 и Microsoft Office, защищающие пользователей от уязвимых элементов управления COM/OLE».

«Пользователи Office 2021 и более поздних версий будут автоматически защищены с помощью изменения на стороне сервиса, но для вступления изменений в силу им потребуется перезапустить свои приложения Office», — добавили в компании.

Хотя Office 2016 и 2019 не защищены от атак сразу после установки, Microsoft предлагает неоднозначные меры по смягчению последствий, которые могут «снизить серьёзность эксплуатации».

Мы попытались прояснить ситуацию с помощью наших инструкций ниже:

1. Закройте все приложения Microsoft Office.
2. Создайте резервную копию реестра Windows, так как его неправильное редактирование может привести к проблемам с операционной системой.
3. Откройте редактор реестра Windows (regedit.exe), нажав на кнопку «Пуск» и введя regedit, а затем нажав Enter, когда он появится в результатах поиска.
4. После открытия используйте адресную строку вверху, чтобы проверить, существует ли один из следующих разделов реестра:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\ (for 64-bit Office, or 32-bit Office on 32-bit Windows)
   
   HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ (for 32-bit Office on 64-bit Windows)
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\

   Если один из вышеуказанных ключей не существует, создайте новый раздел «Совместимость с COM» в этом пути реестра, щелкнув правой кнопкой мыши на Common и выбрав New -> Key.

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\

5. Теперь щелкните правой кнопкой мыши по существующему или вновь созданному ключу Совместимость с COM-портами и выберите Создать -> Ключ и присвойте ему имя {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}.
6. Когда будет создан новый {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}, щелкните по нему правой кнопкой мыши и выберите Создать -> DWORD (32-разрядное) значение. Назовите новое значение Флагами совместимости.
7. Когда будет создано значение Флаги совместимости, дважды щелкните по нему, убедитесь, что для параметра Base установлено значение Шестнадцатеричный, и введите 400 в поле Данных значения.

После выполнения этих действий ошибка будет устранена при следующем запуске приложения Office.

Компания Microsoft не сообщила, кто обнаружил уязвимость и как она используется, а представитель компании не смог оперативно прокомментировать ситуацию, когда с ним связался BleepingComputer ранее сегодня.

Ранее в этом месяце в рамках обновления от 20 января 2026 года компания Microsoft выпустила обновления для системы безопасности, устраняющие 114 уязвимостей, в том числе одну активно эксплуатируемую и две публично раскрытые уязвимости нулевого дня.

Другой активно эксплуатируемый уязвимый код нулевого дня, исправленный в этом месяце, — это уязвимость в Desktop Window Manager, связанная с раскрытием информации, которую Microsoft оценила как «серьёзную». Она позволяет злоумышленникам считывать адреса памяти, связанные с удалённым портом ALPC.

На прошлой неделе Microsoft также выпустила несколько дополнительных обновлений для Windows, чтобы исправить ошибки, связанные с выключением и облачным ПК, которые возникли после январских обновлений во вторник, а также ещё один набор экстренных обновлений для устранения проблемы, из-за которой классический почтовый клиент Outlook зависал или переставал работать.

Редактор: AndreyEx