Les correctifs pour Office 2021 sont automatiques, mais pour Office 2016 et Office 2019, ils doivent être appliqués manuellement.
Microsoft avertit les administrateurs d’une vulnérabilité de contournement de sécurité Office Zero Day qui peut être déclenchée simplement par un utilisateur ouvrant un document. La faille est actuellement activement exploitée.
« La vulnérabilité est grave », a déclaré Johannes Ullrich, doyen de la recherche à l’Institut SANS. « La cause première est que Microsoft Office prend toujours en charge l’ancien format de document OLE, qui donne accès à divers composants OLE. L’effet est similaire à ce qu’un attaquant pourrait faire avec les macros Office. Mais les macros Office sont généralement bloquées pour les documents téléchargés sur Internet. Microsoft a mis en œuvre des protections similaires pour les composants OLE, mais cet exploit récent a trouvé un moyen de les contourner. «
Malgré les efforts de Microsoft et des fournisseurs de passerelles de messagerie, les e-mails contenant des pièces jointes malveillantes restent un vecteur d’attaque important, a-t-il ajouté.
« Il est important que les organisations déploient rapidement cette mise à jour. En attendant qu’elle soit appliquée, les filtres sur les passerelles de messagerie ou les signatures de protection des points finaux peuvent aider à atténuer la menace. »
Heureusement, la vulnérabilité CVE-2026-21509, qui a un score CVSS de 7,8, est corrigée automatiquement dans Office 2021 et versions ultérieures. Cependant, les administrateurs doivent noter que ces applications doivent être redémarrées pour que le correctif prenne effet. Pour Office 2016 et Office 2019, il existe un correctif distinct.
Jack Bicer, directeur de la recherche sur les vulnérabilités chez Action1, a déclaré que pour les équipes de sécurité et les RSSI, « l’urgence est réelle : n’attendez pas, donnez immédiatement la priorité à cette mise à jour et assurez-vous que toutes les applications Office sont redémarrées afin que les protections prennent effet sans délai ».
La faille est exploitée en envoyant des documents Office malveillants et en convaincant les utilisateurs de les ouvrir, « une technique classique qui met l’accent sur l’efficacité continue de l’ingénierie sociale dans les attaques du monde réel », a-t-il déclaré.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté la faille à son catalogue de vulnérabilités exploitées connues. Les vulnérabilités du catalogue doivent être corrigées par les agences exécutives civiles fédérales avant une date spécifiée.
Invité à commenter, un porte-parole de Microsoft a déclaré que la société recommande aux clients concernés de suivre les instructions figurant sur sa page CVE. Il souligne également que Microsoft Defender a mis en place des détections pour bloquer l’exploitation et que le paramètre d’affichage protégé par défaut d’Office fournit une couche de protection supplémentaire en bloquant les fichiers malveillants sur Internet.
« En tant que meilleure pratique de sécurité, nous encourageons les utilisateurs à faire preuve de prudence lors du téléchargement et de l’activation de la modification de fichiers provenant de sources inconnues, comme indiqué dans les avertissements de sécurité », a ajouté le porte-parole.
