Scopri anche

• CVE-2026-21509: Microsoft interviene con patch d'emergenza per zero-day in Office
• Fine supporto Xiaomi: dispositivi senza aggiornamenti di sicurezza dal 2025
• Aggiornamento di febbraio 2026 per Windows 11: nuove funzionalità e miglioramenti
• Microsoft lavora all'emulazione Xbox ufficiale per PC Windows e dispositivi handheld
• Aggiornamenti di sicurezza e fine supporto per Office: cosa sapere
• Vulnerabilità WinRAR CVE-2025-8088: Rischio Esecuzione Codice e Necessità di Aggiornamento Manuale
• Vulnerabilità Zero-Day: La Minaccia Invisibile nei Sistemi Informatici
• Sicurezza informatica nel settore sanitario: rischi e protezione dei dispositivi IoT e IoMT
• Aggiornamenti di sicurezza Apple correggono vulnerabilità zero-day critiche in Image I/O
• Apple rilascia aggiornamenti di sicurezza settembre 2025: patch per Safari e sistemi operativi
• WhisperPair: la vulnerabilità critica negli auricolari Bluetooth che permette tracciamento e intercettazione
• Vulnerabilità critica VMware vCenter sfruttata attivamente: patch urgente
• Vulnerabilità WhisperPair negli auricolari Bluetooth: rischi e soluzioni
• Pwn2Own Automotive 2026: 37 Zero-Day Scoperti nel Primo Giorno
• Patch Tuesday gennaio 2026: Microsoft corregge vulnerabilità zero-day già sfruttata
• Vulnerabilità di sicurezza in Google Gemini: l'analisi tecnica degli attacchi via Calendar
• Aggiornamento sicurezza Samsung gennaio 2026: 55 correzioni per Galaxy S25 e pieghevoli
• Aggiornamento iPhone: sicurezza iOS 26 e risoluzione errori
• Nuova vulnerabilità zero-day in MOVEit Transfer: a rischio dati sensibili di aziende
• Apple AirBorne: vulnerabilità zero-click in AirPlay mette a rischio milioni di dispositivi

Analisi della vulnerabilità CVE-2026-21509 in Microsoft Office e misure di mitigazione

Analisi della vulnerabilità CVE-2026-21509 in Microsoft Office e misure di mitigazione

Nel gennaio 2026, Microsoft ha dichiarato uno stato di emergenza sicurezza a causa della vulnerabilità zero-day CVE-2026-21509 che interessa le versioni Office 2016, 2019 e LTSC. Questa falla permette agli attaccanti di bypassare le mitigazioni OLE, eseguendo codice malevolo semplicemente inducendo l'utente ad aprire un file infetto. Il pericolo è elevato perché l'attacco non richiede privilegi amministrativi e colpisce soprattutto le versioni più stabili e diffuse, molto usate da aziende e istituzioni.

Caratteristiche tecniche della vulnerabilità

⬆ Torna su

Dal punto di vista tecnico, CVE-2026-21509 rientra nella categoria delle security feature bypass, ovvero vulnerabilità che non portano necessariamente all'esecuzione di codice arbitrario, ma consentono di eludere meccanismi di difesa progettati per proteggere l'utente. La vulnerabilità nasce dal modo con cui Office prende decisioni di sicurezza basandosi su dati che non dovrebbero essere considerati affidabili.

COM (Component Object Model) è una tecnologia storica di Microsoft che permette a diverse applicazioni e componenti software di comunicare tra loro e condividere funzionalità. OLE (Object Linking and Embedding) è una sua estensione, ampiamente utilizzata in Office, che consente per esempio di incorporare oggetti esterni all'interno di un documento Word o Excel, come fogli di calcolo, grafici o controlli software.

Proprio perché questi meccanismi permettono a un documento di interagire con componenti di sistema, nel tempo sono diventati un vettore di attacco privilegiato. Per questo Microsoft ha introdotto delle mitigazioni di sicurezza OLE, che limitano o bloccano automaticamente l'esecuzione di determinati controlli COM considerati vulnerabili o non sicuri, soprattutto quando il file proviene da Internet o da fonti non attendibili.

Versioni di Office interessate e disponibilità delle patch

⬆ Torna su

La vulnerabilità colpisce diverse versioni del prodotto, tra cui Microsoft Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 e Microsoft 365 Apps for Enterprise. Redmond ha precisato che, al momento, gli aggiornamenti correttivi non sono ancora disponibili per Office 2016 e Office 2019, ma saranno rilasciati appena possibile.

La gestione dell'emergenza non è uniforme per tutti i clienti. Chi utilizza Office 2021 o successivi, inclusi gli abbonati ai servizi cloud, riceverà la protezione tramite una modifica lato server. Affinché la correzione diventi operativa, tuttavia, è imperativo riavviare le applicazioni della suite. Situazione più complessa si prospetta per gli utilizzatori di Office 2016 e Office 2019: per queste edizioni, le patch ufficiali non sono ancora disponibili.

Mitigazione tramite modifica del registro di sistema

⬆ Torna su

In assenza di una patch ufficiale immediatamente disponibile per Office 2016 e Office 2019, Microsoft ha indicato un intervento manuale che agisce direttamente sul meccanismo COM Compatibility, utilizzato da Office per decidere se un determinato controllo COM/OLE possa essere caricato ed eseguito. Office mantiene infatti una serie di flag di compatibilità nel Registro di sistema di Windows, associati a specifici Class ID (CLSID).

La mitigazione fornita da Microsoft consiste nel forzare l'applicazione di restrizioni di sicurezza su uno specifico controllo COM, identificato dal CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}. Questo CLSID è associato a un componente legacy OLE che, in condizioni normali, può essere richiamato da un documento Office. A causa della vulnerabilità CVE-2026-21509, le normali protezioni che dovrebbero impedirne l'uso in contesti non affidabili possono essere aggirate.

La procedura prevede la creazione manuale di chiavi specifiche all'interno del percorso COM Compatibility e l'impostazione di valori esadecimali precisi per inibire il vettore d'attacco. Il flag 0x400 indica a Office che il controllo COM indicato non deve essere inizializzato in scenari non sicuri, ripristinando di fatto una protezione che la vulnerabilità consente di bypassare.

Identificazione del componente vulnerabile

⬆ Torna su

Dopo qualche breve ricerca, è stato possibile accertare che il controllo COM, identificato dal CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}, corrisponde al WebBrowser del vecchio Internet Explorer (MSHTML/IEframe), quello che molte applicazioni Windows hanno usato per anni per "incorporare un browser" dentro una finestra. Nonostante affondi le radici nel passato, il WebBrowser (conosciuto anche come Microsoft Web Browser Version 1, Shell.Explorer.1, file C:\Windows\System32\ieframe.dll) è un oggetto OLE ancora oggi incorporabile nei documenti Office.

L'associazione del controllo COM "incriminato" a gennaio 2026 con Internet Explorer compare anche in un vecchio bollettino Microsoft del 2008 (MS08-073): Microsoft indicava che il valore Compatibility Flags impostato a 0x400 è il classico meccanismo di blocco ("kill bit") dei controlli ActiveX.

Contesto dello sfruttamento e misure di difesa aggiuntive

⬆ Torna su

Il fatto che la vulnerabilità sia già sfruttata attivamente rende la situazione particolarmente delicata. Anche se l'attacco richiede un'azione esplicita da parte dell'utente, il requisito non riduce in modo significativo il rischio, soprattutto in contesti aziendali dove campagne di phishing mirate e documenti Office condivisi via email rappresentano un vettore estremamente comune.

Microsoft ha sottolineato che Defender dispone già di firme e meccanismi di rilevamento in grado di bloccare tentativi di sfruttamento noti, mentre l'impostazione predefinita di Visualizzazione protetta fornisce un ulteriore livello di difesa impedendo l'apertura diretta di file provenienti da Internet. Tuttavia, come spesso accade, l'efficacia di queste misure dipende dal comportamento dell'utente, in particolare dalla scelta di abilitare o meno la modifica dei documenti ricevuti da fonti non affidabili.

Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.

Fonti

⬆ Torna su

• https://www.ersaf.it/edunews/microsoft-office-patch-di-emergenza-e-nuove-contromisure-contro-la-falla-zero-day-cve-2026-21509/
• https://www.ilsoftware.it/zero-day-in-office-e-patch-demergenza-nel-2026-microsoft-deve-ancora-bloccare-activex/
• https://www.hwupgrade.it/news/software-business/patch-di-emergenza-per-microsoft-office-corretta-o-mitigata-falla-sfruttata-sulle-versioni-2016-2019-e-ltsc_149205.html
• https://www.punto-informatico.it/microsoft-corregge-vulnerabilita-0-day-office/