Microsoft a lancé un patch hors cycle pour corriger une vulnérabilité à haute gravité dans Microsoft Office qui est déjà utilisé dans des attaques ciblées. Identifiée comme CVE-2026-21509, l'échec a un score CVSS de 7,8 / 10 et est classé comme une omission dans les protections de sécurité Office qui permet de contourner les mécanismes conçus pour bloquer les contrôles COM / OLE dangereux.
En termes simples, un attaquant peut envoyer un fichier Office manipulé et, si la victime l'ouvre, la vulnérabilité peut permettre que certaines défenses qui bloquent habituellement les composants OLE vulnérables soient ignorées. Microsoft a expressément souligné que Preview Pane ne sert pas de vecteur d'attaque pour cet échec, donc une exploitation réussie dépend de l'obtention de l'utilisateur pour ouvrir le document malveillant avec l'application Office.
La société a publié un avis technique avec des détails et des mesures d'atténuation, et l'a attribué au travail conjoint du Microsoft Threat Intelligence Center (MSTIC), du Microsoft Security Response Center (MSRC) et de l'équipe de sécurité du groupe de produits Office. Vous pouvez voir le guide officiel sur la page Microsoft pour le CVE ici: msrc.microsoft.com / guide de mise à jour / CVE-2026-21509.
Microsoft a appliqué une correction côté service pour les clients utilisant Office 2021 et versions ultérieures, ce qui signifie que ces utilisateurs sont protégés sans avoir à installer un correctif local, bien qu'il soit nécessaire de redémarrer les applications Office pour que les modifications prennent effet. Pour les installations plus anciennes, comme Office 2016 et 2019, Microsoft a publié des bâtiments en béton qui doivent être installés pour combler l'écart; ceux qui dépendent de ces versions doivent revoir et installer les mises à jour correspondantes selon leur édition et leur architecture.
Si pour une raison quelconque il n'est pas possible d'appliquer les mises à jour immédiatement, Microsoft propose une atténuation basée sur une modification du registre Windows. Avant de jouer quoi que ce soit, la société recommande de sauvegarder le registre; Microsoft explique la procédure pour enregistrer et restaurer le Registre sur cette page de support: Comment sauvegarder et restaurer le registre. L'atténuation consiste à fermer toutes les applications Office, à ouvrir l'Éditeur du registre et à créer une nouvelle clé de compatibilité au sein de la branche d'installation Office (les itinéraires varient s'il s'agit d'une installation MSI ou Click-to-Run et selon que Windows est 32 ou 64 bits). Dans cette clé, vous devez ajouter une valeur REG _ DWORD appelée "Drapeaux de compatibilité" avec la valeur hexadécimale 0x400; lorsque vous avez terminé, fermez l'éditeur de registre et redémarrez l'application Office afin que la mesure ait effet.
Si vous voulez mieux comprendre pourquoi il affecte les composants OLE et quelles sont ces mesures d'atténuation, il y a des ressources qui expliquent le fonctionnement de OLE et pourquoi les contrôles COM / OLE sont un vecteur d'exploitation fréquent: un bon point de départ est l'explication technique de l'atténuation OLE sur les plateformes de sécurité comme Huntress: Qu'est-ce qu'OLE?.
Microsoft n'a pas publié de détails détaillés sur le nombre de campagnes ou la mesure dans laquelle les attaques ont déjà utilisé cette vulnérabilité, mais la gravité et l'existence de participations réelles étaient suffisantes pour que la US Infrastructure and Cybersecurity Agency (CISA) inclue l'échec dans son catalogue des vulnérabilités connues exploitées (KEV). Cette inclusion oblige les organismes fédéraux civils américains à appliquer les corrections avant un délai fixé par la CISA; l'avis officiel d'inclusion est disponible ici : CISA ajoute une vulnérabilité au catalogue KEV et le catalogue public peut être consulté à Vulnérabilités exploitées connues (KEV).
Pour les gestionnaires et les responsables de la sécurité, la recommandation est double : prioriser l'installation des mises à jour publiées par Microsoft et, bien qu'elles soient appliquées, évaluer l'atténuation du Registre dans les environnements où la mise à jour n'est pas immédiatement possible. En outre, les mesures préventives traditionnelles devraient être renforcées: filtrage des pièces jointes et du contenu actif dans le courrier, sensibilisation des utilisateurs à ne pas ouvrir de documents d'expédition non vérifiés et surveillance des signes d'activité inhabituelle dans les paramètres qui peuvent être liés aux processus du Bureau.
Dans un écosystème où les documents restent un vecteur favori pour les intrusions, cette correction rappelle que le risque persiste et que garder le logiciel mis à jour reste la défense la plus efficace. Gardez un œil sur les communiqués officiels et appliquez les mises à jour recommandées dès que possible.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...