CVE-2026-21514
Microsoft Office
2026-02-10
Microsoft Office Word contains a reliance on untrusted inputs in a security decision vulnerability that could allow an authorized attacker to elevate privileges locally.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2026-21514 в Microsoft Office Word относится к классу CWE-807 (Reliance on Untrusted Inputs in a Security Decision). Процесс Word принимает решения, критичные для безопасности, основываясь на входных данных, которые могут контролироваться пользователем без достаточных прав (например, переменные окружения, символические ссылки, специфические ключи реестра или пути к временным файлам). Локальный авторизованный злоумышленник может подменить эти данные или манипулировать ими. В результате успешной эксплуатации злоумышленник способен повысить свои привилегии в системе (Local Privilege Escalation — LPE), потенциально получив права уровня SYSTEM или локального администратора, что ведет к полной компрометации рабочей станции.
Как исправить
Основным и единственным гарантированным методом устранения уязвимости является установка актуального пакета обновлений безопасности от Microsoft. Обеспечьте доставку обновлений через ваши системы управления патчами (WSUS, MECM/SCCM, Intune). Для принудительного запуска обновления Microsoft Office (версии Click-to-Run) на локальной машине выполните следующую команду:
"C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeC2RClient.exe" /update user updatepromptuser=false forceappshutdown=true displaylevel=false
Для поиска и установки всех доступных обновлений безопасности через модуль PSWindowsUpdate используйте:
Get-WindowsUpdate -Install -AcceptAll -IgnoreReboot
Временные меры
Если немедленная установка патча невозможна, необходимо внедрить компенсирующие контроли для снижения поверхности атаки. Активируйте правило Attack Surface Reduction (ASR) «Block all Office applications from creating child processes», чтобы заблокировать возможность запуска вредоносных процессов из уязвимого приложения:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F0404F-1425-47E5-9CE3-9AD58A1B2AA9 -AttackSurfaceReductionRules_Actions Enable
Заблокируйте выполнение макросов из интернета (файлы с меткой Mark-of-the-Web), так как злоумышленники часто используют их как вектор доставки эксплойтов для локальных уязвимостей:
Set-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Office\16.0\Word\Security" -Name "blockmacros" -Value 1 -Type DWord -Force
Убедитесь, что пользователи работают под учетными записями без прав локального администратора (принцип наименьших привилегий).
Настройте SIEM-систему на мониторинг событий создания процессов (Event ID 4688) и Sysmon (Event ID 1) для отслеживания аномальной активности, исходящей от процесса winword.exe.