A Microsoft lançou um adesivo fora de ciclo para corrigir uma vulnerabilidade de gravidade elevada no Microsoft Office que já está sendo aproveitada em ataques direcionados. Identificada como CVE-2026-21509, a falha tem uma pontuação CVSS de 7.8/10 e é classificada como uma omissão nas protecções de segurança do Office que permite contornar os mecanismos concebidos para bloquear controlos COM/OLE inseguros.
Em termos simples, um atacante pode enviar um arquivo do Office manipulado e, se a vítima o abrir, a vulnerabilidade pode permitir que algumas defesas normalmente bloqueiam componentes OLE vulneráveis. A Microsoft afirmou expressamente que a pré-visualização de arquivos (Preview Pane) não serve como vetor de ataque para esta falha, pelo que a exploração bem-sucedida depende de conseguir que o usuário abra o documento malicioso com a aplicação do Office.
A empresa publicou um aviso técnico com os detalhes e as mitigações, e atribuiu ao trabalho conjunto do Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC) e a equipe de segurança do grupo de produto Office. Você pode consultar o guia oficial na página Microsoft para o CVE aqui: msrc.microsoft.com/update-guide/CVE-2026-21509.
A Microsoft implementou uma correção do lado do serviço para clientes que usam o Office 2021 e versões posteriores, o que significa que esses usuários recebem proteção sem ter que instalar um adesivo local, embora seja necessário reiniciar as aplicações do Office para que as mudanças tenham efeito. Para instalações mais antigas, como o Office 2016 e 2019, a Microsoft publicou builds concretos que devem ser instalados para fechar a lacuna; aqueles que dependem dessas versões devem rever e instalar as actualizações correspondentes de acordo com sua edição e arquitetura.
Se por alguma razão não for possível aplicar imediatamente as atualizações, a Microsoft propõe uma mitigação baseada em uma modificação do Registo do Windows. Antes de tocar nada, a empresa recomenda fazer uma cópia de segurança do registro; a Microsoft explica o procedimento para salvar e restaurar o registro nesta página de suporte: Como apoiar e restaurar o Registo. A mitigação implica fechar todas as aplicações do Office, abrir o Editor do Registro e criar uma nova chave de compatibilidade dentro do ramo correspondente à instalação do Office (as rotas variam se se trata de uma instalação MSI ou Click-to-Run e segundo se o Windows é de 32 ou 64 bits). Dentro dessa chave há que adicionar um valor REG_DWORD chamado "Compatibility Flags" com o valor hexadecimal 0x400; ao terminar, fechar o editor do Registro e voltar a iniciar a aplicação do Office para que a medida tenha efeito.
Se você quer entender melhor por que afeta componentes OLE e o que são essas mitigações, há recursos que explicam o funcionamento de OLE e por que os controles COM/OLE são um vetor frequente de exploração: um bom ponto de partida é a explicação técnica de mitigações OLE em plataformas de segurança como Huntress: O que é o OLE?.
A Microsoft não tem tornado públicos detalhes detalhados sobre quantas campanhas ou que alcance têm os ataques que já utilizaram esta vulnerabilidade, mas a gravidade e a existência de explorações reais foram suficientes para que a Agência de Segurança de Infraestruturas e Cibersegurança dos EUA (CISA) incluísse a falha no seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV). Essa inclusão obriga as agências federais civis dos EUA a aplicarem as correcções antes de um prazo estabelecido pela CISA; o aviso oficial da agência sobre a inclusão está disponível aqui: CISA acrescenta a vulnerabilidade ao catálogo KEV, e o catálogo público pode ser consultado em Known Exploited Vulnerabilities (KEV).
Para administradores e responsáveis pela segurança, a recomendação é dupla: priorizar a instalação das atualizações publicadas pela Microsoft e, enquanto se aplicam, avaliar a mitigação do Registro em ambientes onde a atualização não seja viável imediatamente. Além disso, convém reforçar medidas preventivas tradicionais: filtrar anexos e conteúdos ativos no correio, educar usuários para não abrir documentos de remetentes não verificados e monitorar sinais de atividade incomum em endpoints que possam estar relacionados com processos do Office.
Num ecossistema onde os documentos continuam a ser um vetor predilecto para intrusões, esta correção lembra que o risco persiste e que manter o software atualizado continua sendo a defesa mais efetiva. Fique atento aos comunicados oficiais e aplique as atualizações recomendadas logo que possível.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...