Seguir 
Pouco depois do lançamento do Patch Tuesday de janeiro, solucionando 114 vulnerabilidades, incluindo uma zero-day no Windows Desktop Manager (CVE-2026-20805), a Microsoft lançou uma atualização de emergência fora do calendário habitual para corrigir outro bug sob exploração ativa. Desta vez, os atacantes estão mirando a CVE-2026-21509, uma zero-day no Microsoft Office que permite que agentes de ameaça contornem recursos de segurança integrados.
Em vista dos casos de exploração confirmados pela Microsoft, a falha foi prontamente adicionada ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da CISA, exigindo que agências civis federais dos EUA a corrijam até 16 de fevereiro de 2026.
Os produtos Microsoft continuam a ser um alvo atraente para exploits zero-day, com 41 vulnerabilidades identificadas como zero-days no ano passado, 24 das quais foram exploradas em ataques in-the-wild, de acordo com Tenable. O sistema operacional Windows e os componentes do Office permanecem os principais vetores de ataque, com essa tendência persistindo até 2026.
Inscreva-se na SOC Prime Platform, que agrega o maior conjunto de dados de inteligência de detecção do mundo e oferece um conjunto completo de produtos que capacitam equipes de SOC a lidarem perfeitamente com tudo, desde a detecção até a simulação. A plataforma possui uma grande coleção de regras que abordam exploits críticos e ameaças cibernéticas de qualquer sofisticação. Basta pressionar Explorar Deteções e imediatamente detalhar uma pilha de detecção relevante filtrada pela tag “CVE”.
Todas as regras estão mapeadas para a versão mais recente do MITRE ATT&CK® framework v18.1 e são compatíveis com várias plataformas SIEM, EDR e Data Lake. Além disso, cada regra vem embalada com metadados amplos, incluindo CTI referências, fluxos de ataque, configurações de auditoria e mais.
Os defensores cibernéticos também podem usar Uncoder AI para agilizar sua rotina de engenharia de detecção. Transforme relatórios de ameaças brutos em regras de comportamento acionáveis, teste sua lógica de detecção, mapeie fluxos de ataque, transforme IOC em consultas de caça, ou traduza instantaneamente o código de detecção entre idiomas suportado pelo poder da IA e da profunda expertise em cibersegurança em cada etapa.
Análise da CVE-2026-21509
Em 26 de janeiro de 2026, a Microsoft emitiu um aviso detalhando uma vulnerabilidade de bypass de recurso de segurança que afeta o Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 e os aplicativos Microsoft 365 Apps for Enterprise.
O problema de segurança surge da dependência do Microsoft Office em entradas não confiáveis nas decisões de segurança. Isso permite que hackers locais não autenticados contornem um recurso de segurança. Especificamente, a CVE-2026-21509 permite que agentes de ameaça contornem as mitigações OLE no Microsoft 365 e Office, expondo os usuários a controles COM/OLE vulneráveis.
A exploração normalmente envolve convencer um usuário a abrir um arquivo do Office malicioso enviado pelo atacante. Embora a Microsoft observe que o Painel de Visualização não é diretamente um vetor de ataque, a vulnerabilidade ainda pode ser abusada por meio de ataques de interação com o usuário de baixa complexidade.
A Microsoft credita suas equipes internas de pesquisa em cibersegurança pela divulgação da vulnerabilidade, compartilhando muito pouca informação sobre os casos de exploração. O aviso de segurança apenas confirma tentativas de exploração observadas in-the-wild. No entanto, um PoC (proof of concept) público não está disponível, sugerindo que um número limitado de agentes de ameaça pode ter explorado a falha em campanhas direcionadas.
Notadamente, usuários do Office 2021 e versões posteriores estão automaticamente protegidos através de uma correção no lado do serviço após reiniciarem os aplicativos. Office 2016 e 2019 requerem a instalação da próxima atualização de segurança ou a aplicação manual de uma alteração no registro para bloquear controles COM/OLE vulneráveis. Isso envolve adicionar uma subchave específica no nó de registro de Compatibilidade COM e definir um valor DWORD de Flags de Compatibilidade para 400. Os usuários devem fazer backup do registro antes de fazer qualquer alteração e reiniciar o Office para que as proteções tenham efeito.
Organizações que dependem dos produtos correspondentes do Microsoft Office são instadas a aplicar os patches imediatamente ou seguir as etapas de mitigação descritas no aviso. Também, ao melhorar as defesas com a Plataforma de Inteligência de Detecção Nativa em IA da SOC Prime, as equipes de SOC podem obter conteúdo de detecção do maior e mais atualizado repositório, adotar perfeitamente todo o pipeline de detecção para simulação em seus processos de segurança, orquestrar fluxos de trabalho em sua linguagem natural e navegar suavemente no sempre mutável cenário de ameaças, enquanto fortalecem defesas em escala.
