Microsoft đã phát hành các bản vá bảo mật ngoài chu kỳ vào thứ Hai cho một lỗ hổng zero-day nghiêm trọng trong Microsoft Office đang bị khai thác trong các cuộc tấn công.
Lỗ hổng, được theo dõi là CVE-2026-21509, có điểm CVSS là 7.8 trên 10.0. Nó được mô tả là một lỗ hổng bỏ qua tính năng bảo mật trong Microsoft Office.
"Việc phụ thuộc vào các đầu vào không đáng tin cậy trong một quyết định bảo mật của Microsoft Office cho phép kẻ tấn công trái phép bỏ qua một tính năng bảo mật cục bộ," gã khổng lồ công nghệ cho biết trong một bản tư vấn.
"Bản cập nhật này giải quyết một lỗ hổng bỏ qua các biện pháp giảm thiểu OLE trong Microsoft 365 và Microsoft Office, vốn bảo vệ người dùng khỏi các điều khiển COM/OLE dễ bị tổn thương."
Việc khai thác thành công lỗ hổng này dựa vào việc kẻ tấn công gửi một tệp Office được tạo đặc biệt và thuyết phục người nhận mở nó. Microsoft cũng lưu ý rằng Preview Pane không phải là một vector tấn công.
Các bản cập nhật được yêu cầu
Nhà sản xuất Windows cho biết khách hàng sử dụng Office 2021 trở lên sẽ được bảo vệ tự động thông qua một thay đổi phía dịch vụ, nhưng sẽ cần khởi động lại các ứng dụng Office của họ để thay đổi này có hiệu lực. Đối với những người đang sử dụng Office 2016 và 2019, cần cài đặt các bản cập nhật sau:
- Microsoft Office 2019 (phiên bản 32-bit) - 16.0.10417.20095
- Microsoft Office 2019 (phiên bản 64-bit) - 16.0.10417.20095
- Microsoft Office 2016 (phiên bản 32-bit) - 16.0.5539.1001
- Microsoft Office 2016 (phiên bản 64-bit) - 16.0.5539.1001
Biện pháp giảm thiểu
Để giảm thiểu rủi ro, công ty khuyến nghị khách hàng thực hiện thay đổi Windows Registry bằng cách làm theo các bước dưới đây:
- Sao lưu Registry
- Thoát tất cả các ứng dụng Microsoft Office
- Khởi động Registry Editor
- Tìm khóa con Registry thích hợp -
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\ cho Office MSI 64-bit hoặc Office MSI 32-bit trên Windows 32-bit
- HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ cho Office MSI 32-bit trên Windows 64-bit
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ cho Office Click2Run 64-bit hoặc Office Click2Run 32-bit trên Windows 32-bit
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ cho Office Click2Run 32-bit trên Windows 64-bit
- Thêm khóa con mới có tên {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} bằng cách nhấp chuột phải vào nút COM Compatibility và chọn Add Key.
- Trong khóa con đó, thêm giá trị mới bằng cách nhấp chuột phải vào khóa con mới và chọn New > DWORD (32-bit) Value
- Thêm giá trị thập lục phân REG_DWORD có tên "Compatibility Flags" với giá trị là 400
- Thoát Registry Editor và khởi động ứng dụng Office
Microsoft chưa chia sẻ bất kỳ chi tiết nào về bản chất và phạm vi của các cuộc tấn công khai thác CVE-2026-21509. Họ đã ghi nhận Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC), và Office Product Group Security Team đã phát hiện ra vấn đề này.
Diễn biến này đã thúc đẩy U.S. Cybersecurity and Infrastructure Security Agency (CISA) thêm lỗ hổng này vào danh mục Known Exploited Vulnerabilities (KEV) của mình, yêu cầu các cơ quan Federal Civilian Executive Branch (FCEB) phải áp dụng các bản vá trước ngày 16 tháng 2 năm 2026.
