Segui 
Poco dopo il rilascio degli aggiornamenti di gennaio per Patch Tuesday, che affrontano 114 vulnerabilità, inclusa una zero-day in Windows Desktop Manager (CVE-2026-20805), Microsoft ha rilasciato un aggiornamento urgente fuori ciclo per correggere un altro bug sotto sfruttamento attivo. Questa volta, gli attaccanti stanno prendendo di mira CVE-2026-21509, una zero-day di Microsoft Office che permette agli attori malevoli di bypassare le funzionalità di sicurezza integrate.
In vista dei casi di sfruttamento confermati da Microsoft, la vulnerabilità è stata prontamente aggiunta al catalogo delle Vulnerabilità Sfruttate Note della CISA, richiedendo alle agenzie civili federali degli Stati Uniti di applicare le patch entro il 16 febbraio 2026.
I prodotti Microsoft continuano ad essere un bersaglio succulento per gli exploit zero-day, con 41 vulnerabilità identificate come zero-day l’anno scorso, di cui 24 sfruttate in attacchi in-the-wild, secondo Tenable. Il sistema operativo Windows e i componenti di Office restano i vettori d’attacco primari, con questa tendenza che persiste nel 2026.
Iscriviti alla piattaforma SOC Prime, che aggrega il più grande dataset di rilevamento a livello mondiale e offre una suite completa di prodotti che consente ai team SOC di gestire senza problemi tutto, dal rilevamento alla simulazione. La piattaforma presenta una vasta collezione di regole che affrontano exploit critici e minacce informatiche di qualsiasi sofisticazione. Basta premere Esplora Rilevamenti e immediatamente esaminare una pila di rilevamento pertinente filtrata dal tag “CVE”.
Tutte le regole sono mappate alla più recente MITRE ATT&CK® framework v18.1 e sono compatibili con più piattaforme SIEM, EDR e Data Lake. Inoltre, ogni regola è dotata di ampi metadati, inclusi CTI riferimenti, flussi di attacco, configurazioni di audit e altro.
I difensori informatici possono anche utilizzare Uncoder AI per ottimizzare la loro routine di ingegneria di rilevamento. Trasforma rapporti di minacce grezzi in regole di comportamento azionabili, testa la tua logica di rilevamento, mappa i flussi di attacco, trasforma gli IoC in query di caccia, o traduci istantaneamente il codice di rilevamento tra le lingue usando il potere dell’IA e l’esperienza di sicurezza informatica profonda dietro ogni passo.
Analisi di CVE-2026-21509
Il 26 gennaio 2026, Microsoft ha emesso un avviso che descrive una vulnerabilità di bypass delle funzionalità di sicurezza che interessa Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 e Microsoft 365 Apps for Enterprise.
Il problema di sicurezza deriva dalla dipendenza di Microsoft Office da input non attendibili nelle decisioni di sicurezza. Ciò consente a hacker locali non autenticati di bypassare una funzionalità di sicurezza. Specificamente, CVE-2026-21509 permette agli attori malevoli di aggirare le mitigazioni OLE in Microsoft 365 e Office, esponendo gli utenti a controlli COM/OLE vulnerabili.
Lo sfruttamento tipicamente comporta il convincimento di un utente ad aprire un file Office dannoso inviato dall’attaccante. Sebbene Microsoft nota che il Preview Pane non è direttamente un vettore d’attacco, la vulnerabilità può comunque essere abusata attraverso attacchi a bassa complessità che richiedono interazione dell’utente.
Microsoft attribuisce ai suoi team di ricerca sulla sicurezza informatica interni la divulgazione della vulnerabilità, condividendo pochissime informazioni sui casi di sfruttamento. L’avviso di sicurezza conferma solo i tentativi di sfruttamento in natura. Tuttavia, non è disponibile un exploit PoC pubblico, suggerendo che un numero limitato di attori malevoli potrebbe aver sfruttato la falla in campagne mirate.
In particolare, gli utenti di Office 2021 e successivi sono automaticamente protetti attraverso una correzione dal lato del servizio dopo il riavvio delle applicazioni. Office 2016 e 2019 richiedono l’installazione dell’aggiornamento di sicurezza in arrivo o l’applicazione manuale di una modifica al registro per bloccare i controlli COM/OLE vulnerabili. Ciò comporta l’aggiunta di una sottachiave specifica sotto il nodo di compatibilità COM e l’impostazione di un valore Compatibility Flags DWORD su 400. Gli utenti devono fare backup del registro prima di effettuare qualsiasi modifica e riavviare Office affinché le protezioni abbiano effetto.
Le organizzazioni che dipendono dai prodotti Microsoft Office corrispondenti sono spronate ad applicare immediatamente le patch o seguire i passaggi di mitigazione descritti nell’avviso. Inoltre, potenziando le difese con la piattaforma AI-Native Detection Intelligence di SOC Prime, i team SOC possono ottenere i contenuti di rilevamento dal più grande e aggiornato archivio, adottare senza soluzione di continuità l’intera pipeline dalla rilevazione alla simulazione nei loro processi di sicurezza, orchestrare i flussi di lavoro nella loro lingua naturale e navigare agevolmente nel mutevole panorama delle minacce rafforzando le difese su vasta scala.
