Source: BleepingComputer — Microsoft diffuse des mises à jour de sécurité hors bande pour corriger une vulnérabilité zero‑day de haute gravité dans Microsoft Office, identifiée comme CVE‑2026‑21509 et déjà exploitée en attaques.

⚠️ Vulnérabilité: CVE‑2026‑21509 est un contournement de fonctionnalité de sécurité qui permet de bypasser les mitigations OLE protégeant contre des contrôles COM/OLE vulnérables. L’attaque est de faible complexité, requiert une interaction utilisateur (ouverture d’un fichier Office malveillant), et n’implique pas le volet de prévisualisation. Produits affectés: Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024, Microsoft 365 Apps for Enterprise.

🛡️ Correctifs et protection: Microsoft publie des correctifs hors bande. Pour Office 2016 et 2019, les mises à jour ne sont pas encore disponibles et arriveront dès que possible. Les clients Office 2021 et versions ultérieures bénéficient d’un changement côté service, avec nécessité de redémarrer les applications Office. Microsoft indique que Microsoft Defender dispose de détections et que Protected View offre une barrière supplémentaire pour les fichiers provenant d’Internet.

🔧 Mitigation temporaire (pour 2016/2019) fournie par Microsoft, visant à réduire la sévérité de l’exploitation, à appliquer avant le prochain lancement d’Office:

  • Fermer toutes les applications Office et sauvegarder le Registre Windows.
  • Créer/repérer la clé COM Compatibility sous la ruche Office 16.0 appropriée.
  • Créer la sous-clé avec le CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}.
  • Y ajouter la valeur DWORD 32 bits Compatibility Flags, base Hexadécimal, et définir la donnée à 0x400.

🧩 Contexte plus large: lors du Patch Tuesday de janvier 2026, Microsoft a corrigé 114 failles, dont une autre zero‑day activement exploitée (divulgation d’informations dans Desktop Window Manager permettant de lire des adresses mémoire liées au port ALPC distant) et deux zero‑days divulguées publiquement. Microsoft a aussi publié des mises à jour hors bande pour corriger des problèmes de redémarrage et Cloud PC liés aux mises à jour de janvier, ainsi qu’un correctif d’urgence pour des gels de l’ancien client Outlook. Une mise à jour de l’article a ajouté une déclaration de Microsoft.

Type d’article: patch de sécurité avec note d’alerte, visant à informer sur une vulnérabilité activement exploitée, les correctifs hors bande associés et les mitigations provisoires.

🔗 Source originale : https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-actively-exploited-office-zero-day-vulnerability/