CVE-2026-21509
Microsoft Office
2026-01-26
Microsoft Office contains a security feature bypass vulnerability in which reliance on untrusted inputs in a security decision in Microsoft Office could allow an unauthorized attacker to bypass a security feature locally. Some of the impacted product(s) could be end-of-life (EoL) and/or end-of-service (EoS). Users are advised to discontinue use and/or transition to a supported version.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2026-21509 представляет собой локальный обход функций безопасности (Security Feature Bypass) в Microsoft Office. Проблема возникает из-за некорректной обработки недоверенных входных данных при принятии решений, связанных с политиками безопасности приложения. Локальный злоумышленник, предоставив специально сформированный файл или ввод, может заставить Office проигнорировать встроенные механизмы защиты (например, Protected View, проверку Mark-of-the-Web или блокировку активного контента). Критическим фактором является то, что уязвимости подвержены устаревшие версии продукта (End-of-Life / End-of-Service), для которых патчи безопасности выпускаться не будут.
Как исправить
Единственным надежным способом устранения уязвимости является установка официальных исправлений и полный отказ от неподдерживаемых версий ПО. - Проведите инвентаризацию рабочих станций для выявления версий Microsoft Office, находящихся в статусе EoL/EoS (например, Office 2010, 2013, 2016). - Незамедлительно выведите из эксплуатации неподдерживаемые версии и мигрируйте пользователей на актуальные решения (Microsoft 365 Apps или поддерживаемые версии Office LTSC). - Для поддерживаемых версий разверните актуальные обновления безопасности (Patch Tuesday) через WSUS, Microsoft Intune или SCCM. - Для принудительного фонового обновления Office (Click-to-Run) на локальном хосте выполните следующую команду:
"C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeC2RClient.exe" /update user updatepromptuser=false forceappshutdown=true displaylevel=false
Временные меры
До завершения процесса обновления и миграции необходимо внедрить компенсирующие контроли для снижения вероятности успешной эксплуатации. - Запретите выполнение макросов VBA в документах, загруженных из интернета (с меткой MotW). - Настройте принудительное использование режима защищенного просмотра (Protected View) для всех вложений Outlook и файлов из недоверенных локаций. - Внедрите Microsoft Defender Application Guard для Office, чтобы изолировать недоверенные документы в аппаратном контейнере. - Ограничьте запуск дочерних процессов из приложений Office с помощью правил Attack Surface Reduction (ASR) в Microsoft Defender. - Для принудительной блокировки макросов из интернета через реестр (для актуальных версий Office) выполните:
New-Item -Path "HKCU:\Software\Policies\Microsoft\Office\16.0\Common\Security" -Force; Set-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Office\16.0\Common\Security" -Name "blockmacros" -Value 1 -Type DWord -Force
- Для включения правила ASR "Block all Office applications from creating child processes" (блокировка создания дочерних процессов) выполните:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enable