Microsoft đã phát hành các bản vá bảo mật ngoài chu kỳ vào thứ Hai cho một lỗ hổng zero-day nghiêm trọng trong Microsoft Office đang bị khai thác trong các cuộc tấn công.
Lỗ hổng, được theo dõi với mã định danh CVE-2026-21509, có điểm CVSS là 7.8 trên 10.0. Nó được mô tả là một hành vi vượt qua tính năng bảo mật trong Microsoft Office.
"Việc dựa vào các đầu vào không đáng tin cậy trong quyết định bảo mật của Microsoft Office cho phép kẻ tấn công không được phép vượt qua tính năng bảo mật cục bộ," gã khổng lồ công nghệ cho biết trong một cảnh báo.
"Bản cập nhật này khắc phục một lỗ hổng vượt qua các biện pháp giảm thiểu OLE trong Microsoft 365 và Microsoft Office, vốn bảo vệ người dùng khỏi các điều khiển COM/OLE dễ bị tổn thương."
Khai thác thành công lỗ hổng này dựa vào việc kẻ tấn công gửi một tệp Office được tạo thủ công và thuyết phục người nhận mở nó. Microsoft cũng lưu ý rằng Preview Pane không phải là một vector tấn công.
Cập nhật và Biện pháp Giảm thiểu
Nhà sản xuất Windows cho biết khách hàng sử dụng Office 2021 trở lên sẽ được bảo vệ tự động thông qua một thay đổi phía dịch vụ, nhưng sẽ cần khởi động lại các ứng dụng Office của họ để thay đổi này có hiệu lực. Đối với những người đang sử dụng Office 2016 và 2019, cần cài đặt các bản cập nhật sau:
- Microsoft Office 2019 (phiên bản 32-bit) - 16.0.10417.20095
- Microsoft Office 2019 (phiên bản 64-bit) - 16.0.10417.20095
- Microsoft Office 2016 (phiên bản 32-bit) - 16.0.5539.1001
- Microsoft Office 2016 (phiên bản 64-bit) - 16.0.5539.1001
Để giảm thiểu rủi ro, công ty khuyến nghị khách hàng thực hiện thay đổi Windows Registry bằng cách làm theo các bước dưới đây:
- Sao lưu Registry
- Thoát tất cả các ứng dụng Microsoft Office
- Khởi động Registry Editor
- Xác định vị trí khóa con Registry phù hợp -
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\ cho Office MSI 64-bit hoặc Office MSI 32-bit trên Windows 32-bit
- HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ cho Office MSI 32-bit trên Windows 64-bit
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ cho Office Click2Run 64-bit hoặc Office Click2Run 32-bit trên Windows 32-bit
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ cho Office Click2Run 32-bit trên Windows 64-bit
- Thêm một khóa con mới có tên {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} bằng cách nhấp chuột phải vào nút COM Compatibility và chọn Add Key.
- Trong khóa con đó, thêm giá trị mới bằng cách nhấp chuột phải vào khóa con mới và chọn New > DWORD (32-bit) Value
- Thêm giá trị thập lục phân REG_DWORD có tên "Compatibility Flags" với giá trị là 400
- Thoát Registry Editor và khởi động ứng dụng Office
Chi tiết về Lỗ hổng và Phản ứng
Microsoft chưa chia sẻ bất kỳ chi tiết nào về bản chất và phạm vi của các cuộc tấn công khai thác CVE-2026-21509. Họ đã ghi nhận công lao của Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC) và Office Product Group Security Team trong việc phát hiện ra vấn đề này.
Diễn biến này đã khiến Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) thêm lỗ hổng này vào danh mục Known Exploited Vulnerabilities (KEV) của mình, yêu cầu các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) phải áp dụng các bản vá trước ngày 16 tháng 2 năm 2026.
