Vulnerabilità Zero-Day CVE-2026-21509 in Microsoft Office: Patch di Emergenza e Mitigazioni
Analisi tecnica della vulnerabilità CVE-2026-21509 che colpisce Microsoft Office, le misure di mitigazione temporanee e le patch di emergenza rilasciate.
Contenuto
Nel gennaio 2026, Microsoft ha dichiarato uno stato di emergenza sicurezza a causa della vulnerabilità zero-day identificata come CVE-2026-21509. Questa falla interessa le versioni di Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 e Microsoft 365 Apps for Enterprise. La vulnerabilità, già sfruttata in attacchi reali, consente di aggirare le mitigazioni di sicurezza OLE, potenzialmente permettendo l'esecuzione di codice malevolo. L'attacco richiede l'interazione dell'utente, che deve essere indotto ad aprire un file appositamente predisposto, un vettore comune in campagne di phishing.
Meccanismo Tecnico della Vulnerabilità
⬆ Torna suLa vulnerabilità CVE-2026-21509 rientra nella categoria delle security feature bypass. Tecnicamente, il problema nasce dal modo in cui Office prende decisioni di sicurezza basandosi su dati che non dovrebbero essere considerati affidabili, collegati ai meccanismi OLE (Object Linking and Embedding) e COM (Component Object Model). Queste tecnologie storiche permettono di incorporare oggetti esterni, come fogli di calcolo o controlli software, all'interno di documenti Word o Excel. Microsoft aveva introdotto delle mitigazioni di sicurezza OLE per limitare automaticamente l'esecuzione di controlli COM considerati vulnerabili, specialmente per file provenienti da Internet. La vulnerabilità consente a un file Office malevolo di indurre l'applicazione a "fidarsi" di informazioni inaffidabili, eludendo queste protezioni e consentendo l'uso di un controllo COM che normalmente verrebbe bloccato.
Impatto e Versioni Coinvolte
⬆ Torna suL'impatto della vulnerabilità è potenzialmente significativo, soprattutto in contesti aziendali e professionali dove Office è ampiamente diffuso. Il pericolo è elevato perché l'attacco non richiede privilegi amministrativi e colpisce versioni stabili e molto utilizzate. La documentazione indica che la falla è già stata sfruttata attivamente. Sebbene l'attacco richieda l'interazione dell'utente, questo requisito non riduce in modo significativo il rischio data l'efficacia del phishing. Microsoft Defender dispone già di firme per bloccare tentativi di sfruttamento noti, e la Visualizzazione protetta offre un ulteriore livello di difesa, ma la loro efficacia dipende dal comportamento dell'utente finale.
Patch e Misure di Emergenza Differenziate
⬆ Torna suLa gestione dell'emergenza non è uniforme per tutte le versioni di Office. Microsoft ha rilasciato una patch di emergenza out-of-band per la versione LTSC. Per Office LTSC 2021/2024 e Microsoft 365 Apps for Enterprise, la correzione è stata distribuita come un fix lato server, che richiede il semplice riavvio delle applicazioni per diventare operativa. Al contrario, per gli utenti di Office 2016 e Office 2019, le patch definitive non erano immediatamente disponibili al momento dell'annuncio. Microsoft ha precisato che saranno rilasciate appena possibile.
Mitigazione Provvisoria per Office 2016 e 2019
⬆ Torna suIn attesa delle patch definitive per Office 2016 e Office 2019, Microsoft ha fornito una procedura di mitigazione provvisoria che richiede un intervento manuale sul Registro di sistema di Windows. Questa mitigazione agisce direttamente sul meccanismo COM Compatibility, utilizzato da Office per decidere se un controllo COM/OLE possa essere caricato. La procedura consiste nel forzare l'applicazione di restrizioni di sicurezza su uno specifico controllo COM, identificato dal CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}. Questo CLSID è associato al componente WebBrowser legacy di Internet Explorer (MSHTML/IEframe). Impostando il valore "Compatibility Flags" su 0x400 nelle opportune chiavi del registro, si applica di fatto un "kill bit" che impedisce l'inizializzazione del controllo in scenari non sicuri, ripristinando la protezione bypassata dalla vulnerabilità.
La documentazione specifica i comandi reg.exe da eseguire tramite prompt dei comandi con diritti di amministratore, differenziati per architettura e tipo di installazione (MSI o Click-to-Run). Le chiavi di registro interessate sono: HKLM\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}, HKLM\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}, e le relative sottochiavini per le installazioni Click-to-Run. È un'operazione delicata che, se eseguita erroneamente, potrebbe compromettere la stabilità del sistema.
Considerazioni sulla Sicurezza Legacy
⬆ Torna suLa necessità di intervenire nel 2026 per bloccare un controllo ActiveX legato a Internet Explorer, una tecnologia considerata obsoleta, evidenzia le sfide poste dalla stratificazione storica del software. Componenti legacy degli anni '90 rimangono parte della superficie di attacco di applicazioni moderne come Office, continuando a produrre effetti concreti sulla sicurezza. Questo incidente sottolinea l'importanza di processi di sicurezza dinamici e della consapevolezza degli utenti rispetto a minacce come il phishing.
Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.
Fonti
⬆ Torna su- https://www.ersaf.it/edunews/microsoft-office-patch-di-emergenza-e-nuove-contromisure-contro-la-falla-zero-day-cve-2026-21509/
- https://www.ilsoftware.it/zero-day-in-office-e-patch-demergenza-nel-2026-microsoft-deve-ancora-bloccare-activex/
- https://www.hwupgrade.it/news/software-business/patch-di-emergenza-per-microsoft-office-corretta-o-mitigata-falla-sfruttata-sulle-versioni-2016-2019-e-ltsc_149205.html
- https://www.punto-informatico.it/microsoft-corregge-vulnerabilita-0-day-office/
In breve
- vulnerabilità zero-day
- patch di emergenza
- controlli COM/OLE
- aggiramento delle mitigazioni