Suivre 
Peu après la sortie de son Patch Tuesday de janvier, traitant 114 vulnérabilités, y compris un zero-day dans Windows Desktop Manager (CVE-2026-20805), Microsoft a rapidement publié une mise à jour d’urgence hors bande pour corriger un autre bug sous exploitation active. Cette fois, les attaquants ciblent CVE-2026-21509, un zero-day de Microsoft Office qui permet aux acteurs de la menace de contourner les fonctionnalités de sécurité intégrées.
Compte tenu des cas d’exploitation confirmés par Microsoft, la faille a été rapidement ajoutée au catalogue de CISA des vulnérabilités exploitées connues (KEV), exigeant que les agences civiles fédérales américaines la corrigent d’ici le 16 février 2026.
Les produits Microsoft continuent d’être une cible attrayante pour les exploits zero-day, avec 41 vulnérabilités identifiées comme zero-days l’année dernière, dont 24 ont été utilisées pour des attaques en nature, selon Tenable. Le système d’exploitation Windows et les composants Office demeurent les vecteurs d’attaque principaux, cette tendance se poursuivant en 2026.
Inscrivez-vous à la plateforme SOC Prime, qui agrège le plus grand ensemble de données d’intelligence de détection au monde et offre une suite de produits complète qui permet aux équipes SOC de gérer en toute transparence tout, de la détection à la simulation. La plate-forme propose une grande collection de règles traitant des exploits critiques et des menaces cybernétiques de toute sophistication. Il suffit d’appuyer sur Explorer les détections et de plonger immédiatement dans une pile de détection pertinente filtrée par le tag « CVE ».
Toutes les règles sont mappées au dernier cadre MITRE ATT&CK® v18.1 et sont compatibles avec plusieurs plateformes SIEM, EDR et Data Lake. De plus, chaque règle est accompagnée d’un large ensemble de métadonnées, y compris CTI des références, des flux d’attaques, des configurations d’audit, et plus encore.
Les cyberdéfenseurs peuvent également utiliser Uncoder AI pour simplifier leur routine d’ingénierie de détection. Transformez les rapports de menaces brutes en règles de comportement actionnables, testez votre logique de détection, cartographiez les flux d’attaques, transformez les IOC en requêtes de chasse, ou traduisez instantanément le code de détection à travers les langues grâce à la puissance de l’IA et à l’expertise en cybersécurité derrière chaque étape.
Analyse du CVE-2026-21509
Le 26 janvier 2026, Microsoft a émis un avis détaillant une vulnérabilité de contournement de fonctionnalité de sécurité affectant Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 et Microsoft 365 Apps for Enterprise.
Le problème de sécurité découle de la dépendance de Microsoft Office à des entrées non fiables dans les décisions de sécurité. Cela permet à des hackers locaux non authentifiés de contourner une fonctionnalité de sécurité. Plus précisément, CVE-2026-21509 permet aux acteurs de la menace de contourner les atténuations OLE dans Microsoft 365 et Office, exposant les utilisateurs à des contrôles COM/OLE vulnérables.
L’exploitation implique généralement de convaincre un utilisateur d’ouvrir un fichier Office malveillant envoyé par l’attaquant. Bien que Microsoft note que le volet de prévisualisation n’est pas directement un vecteur d’attaque, la vulnérabilité peut encore être exploitée par des attaques nécessitant une interaction utilisateur peu complexe.
Microsoft crédite ses équipes internes de recherche en cybersécurité pour la divulgation de la vulnérabilité, partageant très peu d’informations sur les cas d’exploitation. Le conseil de sécurité ne confirme que les tentatives d’exploitation dans la nature. Cependant, aucun exploit PoC public n’est disponible, ce qui suggère qu’un nombre limité d’acteurs de la menace pourrait avoir exploité la faille lors de campagnes ciblées.
Notamment, les utilisateurs d’Office 2021 et ultérieurs sont automatiquement protégés grâce à une correction côté service après le redémarrage des applications. Office 2016 et 2019 nécessitent soit l’installation de la mise à jour de sécurité à venir, soit l’application manuelle d’un changement de registre pour bloquer les contrôles COM/OLE vulnérables. Cela inclut l’ajout d’une sous-clé spécifique sous le nœud de compatibilité COM du registre et la définition d’une valeur Compatibility Flags DWORD à 400. Les utilisateurs doivent sauvegarder le registre avant de procéder à toute modification et redémarrer Office pour que les protections prennent effet.
Les organisations qui dépendent des produits Microsoft Office correspondants sont invitées à appliquer les correctifs immédiatement ou à suivre les étapes d’atténuation décrites dans l’avis. De plus, en renforçant les défenses avec la plateforme d’intelligence de détection native AI de SOC Prime, les équipes SOC peuvent obtenir du contenu de détection à partir du plus grand et du plus à jour des dépôts, adopter de manière transparente l’ensemble du pipeline de la détection à la simulation dans leurs processus de sécurité, orchestrer des workflows dans leur langue naturelle, et naviguer en douceur dans le paysage des menaces en constante évolution tout en renforçant les défenses à grande échelle.
