Microsoft ha rilasciato una patch d’emergenza per una grave vulnerabilità zero-day che colpisce Microsoft Office e Microsoft 365. Questa falla, nota come CVE-2026-21509, permette ad attaccanti di aggirare le protezioni di sicurezza e potenzialmente eseguire codice malevolo. La soluzione rapida è semplice: riavvia le app Office se usi versioni 2021 o successive (protette automaticamente), o applica gli aggiornamenti e workaround per Office 2016 e 2019.
La vulnerabilità richiede interazione utente: un attaccante deve convincerti ad aprire un file Office malevolo. Non si attiva nel riquadro di anteprima, riducendo alcuni rischi, ma resta pericolosa per social engineering. Azioni immediate: controlla la tua versione di Office, installa patch disponibili e segui best practice di sicurezza.
Impatto e contesto della minaccia
Office è uno dei software più usati al mondo, rendendolo un bersaglio privilegiato per cybercriminali. Questa zero-day è stata aggiunta al catalogo delle vulnerabilità sfruttate note (KEV) dalla CISA, che impone alle agenzie federali USA di correggerla entro il 16 febbraio 2026. Microsoft conferma exploit attivi, probabilmente legati a minacce avanzate persistenti (APT), come quelle sponsorizzate da stati o gruppi motivati finanziariamente.
Esperti di sicurezza la classificano come complessa, parte di catene di attacco multistadio mirate a vittime di alto valore. A differenza di altre falle Office, non basta visualizzare il file: serve aprirlo deliberatamente. Tuttavia, il bypass delle mitigazioni OLE (Object Linking and Embedding) e COM apre la porta a esecuzioni di codice arbitrarie, compromettendo confidenzialità, integrità e disponibilità dei sistemi.
Negli ultimi mesi, Office ha subito vari attacchi: vulnerabilità in SharePoint come CVE-2025-53770 e CVE-2025-53771 hanno colpito agenzie governative USA. Questa nuova falla sottolinea l’importanza del patching tempestivo e della vigilanza contro phishing.
Passi pratici per la protezione
- Per Office 2021 e versioni successive (inclusi Microsoft 365): La correzione è server-side. Riavvia tutte le applicazioni Office per attivare la protezione.
- Per Office 2016, 2019 e LTSC: Installa gli aggiornamenti di sicurezza non appena disponibili. Nel frattempo, applica il workaround sul registro di Windows per bloccare exploit immediati.
- Adotta configurazioni di sicurezza predefinite e best practice: disabilita macro non attendibili, usa antivirus aggiornati e forma gli utenti contro email sospette.
Microsoft fornisce dettagli sul registro: aggiungi chiavi specifiche per flag di compatibilità che bloccano i controlli COM vulnerabili. Questa misura temporanea è efficace fino all’aggiornamento completo.
Perché Office è un target costante
La diffusione capillare di Office in aziende, governi e privati lo rende ideale per massimizzare l’impatto. Attaccanti combinano falle tecniche con ingegneria sociale, inviando documenti apparentemente innocui. Nel 2026, Microsoft ha già gestito numerose patch, inclusa questa out-of-band dopo il Patch Tuesday di gennaio che ha corretto 114 vulnerabilità.
Organizzazioni dovrebbero prioritizzare audit di sicurezza, monitoraggio di reti e response incident. Strumenti come endpoint detection aiutano a intercettare comportamenti anomali legati a OLE/COM.
Technical deep dive
La vulnerabilità CVE-2026-21509 (CVSS 7.8) è un security feature bypass dovuto a dipendenza da input non attendibili nelle decisioni di sicurezza di Office. Specificamente, aggira mitigazioni contro comportamenti insicuri COM/OLE, permettendo l’esecuzione di controlli vulnerabili.
Tecnicamente, un file Office crafted induce l’applicazione a fidarsi di dati non validati, eludendo protezioni OLE progettate per bloccare embedding pericolosi. Non è RCE diretta senza interazione, ma rimuove barriere chiave, facilitando catene di exploit (es. payload in macro o oggetti incorporati).
Workaround registro Windows: Microsoft raccomanda modifiche a chiavi come HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\<version>\Common\Security. Aggiungi DWORD DisableAllActiveX o flag simili per forzare blocchi COM. Riavvia Office post-modifica. Per LTSC 2021/2024 e Enterprise Apps, verifica build aggiornate via Microsoft Update Catalog.
Sfruttamento multistadio tipico: phishing iniziale → apertura file → bypass OLE → iniezione codice. Analisi vendor indicano complessità alta, con signature per EDR basate su comportamenti OLE anomali. Differenze versioni:
| Versione Office | Protezione attuale | Azione richiesta |
|---|---|---|
| 2021+ / M365 | Server-side attiva post-riavvio | Riavvia app |
| 2016 / 2019 | Patch in arrivo | Workaround registro + attendi update |
| LTSC 2021/2024 | Parziale | Installa patch emergenza |
Monitora MSRC per update. In contesti enterprise, testa workaround in staging per evitare disruption. Questa falla evidenzia evoluzione attacchi: da worm autonomi a operazioni mirate con interazione umana.
Per esperti: integra script PowerShell per deployment bulk registro, es. New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Office\16.0\Common\Security" -Name "OleObjectOverride" -Value 1 -PropertyType DWORD. Combina con Group Policy per enforcement centralizzato. Resta vigile: zero-day indicano gap in threat intel.
Fonte: https://www.darkreading.com/vulnerabilities-threats/microsoft-rushes-emergency-patch-office-zero-day
