CVE-2026-21509: Microsoft interviene con patch d'emergenza per zero-day in Office

Microsoft ha rilasciato aggiornamenti di sicurezza straordinari per una vulnerabilità zero-day già sfruttata in attacchi reali, che aggira le protezioni OLE/CO…

Contenuto

CVE-2026-21509: Microsoft interviene con patch d'emergenza per zero-day in Office

Scopri anche

CVE-2026-21509: Microsoft interviene con patch d'emergenza per zero-day in Office

CVE-2026-21509: Microsoft interviene con patch d'emergenza per zero-day in Office

In questo articolo:

Microsoft ha pubblicato un bollettino di sicurezza straordinario (out-of-band) per correggere una vulnerabilità zero-day ad alta gravità che interessa la suite Office e che risulta già sfruttata in attacchi reali. La falla, identificata come CVE-2026-21509, consente l'aggiramento di specifiche funzionalità di sicurezza legate ai meccanismi OLE/COM, con un impatto potenzialmente significativo in contesti aziendali e professionali dove Office è ampiamente diffuso. La vulnerabilità colpisce diverse versioni del prodotto, tra cui Microsoft Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 e Microsoft 365 Apps for Enterprise. Redmond ha precisato che, al momento, gli aggiornamenti correttivi non sono ancora disponibili per Office 2016 e Office 2019, ma saranno rilasciati appena possibile.

Natura tecnica della vulnerabilità

⬆ Torna su

Dal punto di vista tecnico, CVE-2026-21509 rientra nella categoria delle security feature bypass, ovvero vulnerabilità che non portano necessariamente all'esecuzione di codice arbitrario, ma consentono di eludere meccanismi di difesa progettati per proteggere l'utente. In questo caso, la vulnerabilità nasce dal modo con cui Office prende decisioni di sicurezza basandosi su dati che non dovrebbero essere considerati affidabili. La documentazione Microsoft spiega che "Reliance on untrusted inputs in a security decision in Microsoft Office allows an unauthorized attacker to bypass a security feature locally."

Per capire il problema è necessario chiarire cosa siano OLE e COM. COM (Component Object Model) è una tecnologia storica di Microsoft che permette a diverse applicazioni e componenti software di comunicare tra loro e condividere funzionalità. OLE (Object Linking and Embedding) è una sua estensione, ampiamente utilizzata in Office, che consente per esempio di incorporare oggetti esterni all'interno di un documento Word o Excel, come fogli di calcolo, grafici o controlli software. Proprio perché questi meccanismi permettono a un documento di interagire con componenti di sistema, nel tempo sono diventati un vettore di attacco privilegiato.

Meccanismi di protezione bypassati

⬆ Torna su

Microsoft ha introdotto delle mitigazioni di sicurezza OLE, che limitano o bloccano automaticamente l'esecuzione di determinati controlli COM considerati vulnerabili o non sicuri, soprattutto quando il file proviene da Internet o da fonti non attendibili. La vulnerabilità CVE-2026-21509 consente di aggirare queste accortezze. In pratica, un file Office appositamente costruito può indurre l'applicazione a "fidarsi" di informazioni che non dovrebbero essere ritenute attendibili, portando Office a consentire l'uso di un controllo COM che normalmente verrebbe bloccato. Il risultato non è l'esecuzione automatica di codice senza interazione, ma la rimozione di una barriera di sicurezza che rende possibili attacchi successivi o l'abuso di componenti noti per essere rischiosi.

L'aggiornamento fornito da Microsoft "addresses a vulnerability that bypasses OLE mitigations in Microsoft 365 and Microsoft Office which protect users from vulnerable COM/OLE controls." Il fatto che la vulnerabilità sia già sfruttata attivamente rende la situazione particolarmente delicata. Anche se l'attacco richiede un'azione esplicita da parte dell'utente, il requisito non riduce in modo significativo il rischio, soprattutto in contesti aziendali dove campagne di phishing mirate e documenti Office condivisi via email rappresentano un vettore estremamente comune.

Vettore di attacco e condizioni di sfruttamento

⬆ Torna su

Microsoft ha chiarito che il pannello di anteprima di Esplora file non rappresenta un vettore di attacco diretto. Tuttavia, lo sfruttamento resta possibile tramite attacchi a bassa complessità che richiedono l'interazione dell'utente. In pratica, l'aggressore deve convincere la vittima ad aprire un file Office appositamente predisposto. "An attacker must send a user a malicious Office file and convince them to open it," come specificato nell'advisory. Una volta aperto, il documento può eludere alcune protezioni normalmente attive, aprendo la strada a ulteriori fasi dell'attacco.

Microsoft ha sottolineato che Defender dispone già di firme e meccanismi di rilevamento in grado di bloccare tentativi di sfruttamento noti, mentre l'impostazione predefinita di Visualizzazione protetta fornisce un ulteriore livello di difesa impedendo l'apertura diretta di file provenienti da Internet. Tuttavia, l'efficacia di queste misure dipende dal comportamento dell'utente, in particolare dalla scelta di abilitare o meno la modifica dei documenti ricevuti da fonti non affidabili. Come misura di best practice, Microsoft incoraggia gli utenti a prestare cautela quando scaricano e abilitano la modifica su file provenienti da fonti sconosciute, come indicato negli avvisi di sicurezza.

Mitigazioni immediate per le versioni non patchate

⬆ Torna su

In assenza di una patch ufficiale immediatamente disponibile per Office 2016 e Office 2019, Microsoft ha indicato un intervento manuale che agisce direttamente sul meccanismo COM Compatibility, utilizzato da Office per decidere se un determinato controllo COM/OLE possa essere caricato ed eseguito. Office mantiene infatti una serie di flag di compatibilità nel Registro di sistema di Windows, associati a specifici Class ID (CLSID). Questi identificatori univoci rappresentano singoli componenti COM. Quando un documento tenta di istanziare un controllo COM, Office consulta queste chiavi di registro per stabilire se il componente è consentito, limitato o completamente bloccato.

La mitigazione fornita da Microsoft consiste nel forzare l'applicazione di restrizioni di sicurezza su uno specifico controllo COM, identificato dal CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}. Questo CLSID è associato a un componente legacy OLE che, in condizioni normali, può essere richiamato da un documento Office. A causa della vulnerabilità CVE-2026-21509, le normali protezioni che dovrebbero impedirne l'uso in contesti non affidabili possono essere aggirate. Il flag 0x400 indica a Office che il controllo COM indicato non deve essere inizializzato in scenari non sicuri, ripristinando di fatto una protezione che la vulnerabilità consente di bypassare.

Istruzioni per la modifica del registro di sistema

⬆ Torna su

Nel bollettino pubblicato, Microsoft suggerisce di creare una struttura di registro, scegliendo il percorso corretto in base all'architettura e al tipo di installazione (MSI o Click-to-Run). I comandi proposti, che fanno uso di reg.exe, possono essere utilizzati dagli utenti di Office 2016 e Office 2019, dal prompt dei comandi aperto con i diritti di amministratore. È necessario aggiungere il valore "Compatibility Flags" come DWORD con valore 0x400 nei seguenti percorsi di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} Se una di queste chiavi non esiste, deve essere creata manualmente. Dopo l'applicazione di queste modifiche, è necessario riavviare le applicazioni Office affinché le protezioni abbiano effetto.

Protezione automatica per le versioni recenti di Office

⬆ Torna su

Per i clienti che utilizzano Office 2021 e versioni successive, Microsoft ha implementato una protezione automatica tramite una modifica lato servizio. "Customers on Office 2021 and later will be automatically protected via a service-side change, but will be required to restart their Office applications for this to take effect," ha specificato l'azienda. Questo significa che per queste versioni non è necessario installare manualmente una patch, ma è sufficiente riavviare le applicazioni Office per applicare la correzione. Questo approccio differenziato evidenzia la differenza architetturale tra le versioni più tradizionali di Office e quelle più recenti, basate su servizi cloud.

Il controllo COM legacy e il contesto storico

⬆ Torna su

Il controllo COM identificato dal CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} corrisponde al WebBrowser del vecchio Internet Explorer (MSHTML/IEframe), un componente che molte applicazioni Windows hanno usato per anni per "incorporare un browser" dentro una finestra. Nonostante affondi le radici nel passato, il WebBrowser (conosciuto anche come Microsoft Web Browser Version 1, Shell.Explorer.1) è un oggetto OLE ancora oggi incorporabile nei documenti Office. L'associazione di questo controllo COM a Internet Explorer compare anche in un vecchio bollettino Microsoft del 2008 (MS08-073), dove Microsoft indicava che il valore Compatibility Flags impostato a 0x400 è il classico meccanismo di blocco ("kill bit") dei controlli ActiveX.

Il fatto che nel 2026 Microsoft sia stata costretta a intervenire per bloccare un controllo ActiveX legato a Internet Explorer, una tecnologia che dovrebbe essere da tempo "morta e sepolta", rappresenta una dimostrazione di quanto la stratificazione storica del software continui a produrre effetti di sicurezza concreti. Non si tratta più solo di un problema architetturale di Windows, ma di una eredità profonda che coinvolge anche Office, dove componenti legacy degli anni '90 restano ancora oggi parte della superficie di attacco.

Risposta delle autorità e impatto

⬆ Torna su

Lo sviluppo della vulnerabilità CVE-2026-21509 ha portato la U.S. Cybersecurity and Infrastructure Security Agency (CISA) ad aggiungere la falla al suo catalogo Known Exploited Vulnerabilities (KEV). Questa mappa richiede alle agenzie federali civili esecutive (FCEB) di applicare le patch entro il 16 febbraio 2026. L'inclusione nel catalogo KEV sottolinea la gravità della vulnerabilità e la sua attiva sfruttamento in ambienti reali. Microsoft non ha condiviso dettagli sulla natura e la portata degli attacchi che sfruttano CVE-2026-21509, ma ha accreditato il Microsoft Threat Intelligence Center (MSTIC), il Microsoft Security Response Center (MSRC) e l'Office Product Group Security Team per la scoperta del problema.

Secondo i dati citati, i prodotti Microsoft continuano a essere un bersaglio ambito per exploit zero-day, con 41 vulnerabilità identificate come zero-day nell'anno precedente, 24 delle quali sono state sfruttate in attacchi in-the-wild. Il sistema operativo Windows e i componenti di Office rimangono i vettori di attacco primari, con questa tendenza che persiste nel 2026. Questo incidente si verifica poco dopo il Patch Tuesday di gennaio 2026, in cui Microsoft ha risolto 114 vulnerabilità, inclusa un'altra zero-day sfruttata attivamente nel Desktop Window Manager (CVE-2026-20805).

Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.

Fonti

⬆ Torna su

In breve

  • securityfeaturebypass
  • office
  • ole
  • com

Link utili

Apri l'articolo su DeafNews