Microsoft łata lukę zero-day w Office – bezpieczeństwo znów zagrożone

Kto jeszcze wierzy, że w 2026 otwieranie dokumentu to czynność bezpieczna jak herbata w biurze? Microsoft właśnie załatał świeżo wykorzystywaną lukę zero-day w pakiecie Office – a część użytkowników musi jeszcze zaczekać.

W skrócie: to luka typu security feature bypass (CVE-2026-21509) aktywnie używana w kampaniach złośliwych dokumentów. Microsoft wydał awaryjne aktualizacje poza cyklem, ale posiadacze Office 2016 i 2019 na łatkę dopiero czekają; dostali za to instrukcję obejścia. Użytkownicy Office 2021 i nowszych (w tym Microsoft 365) są chronieni po stronie serwera – pod warunkiem, że zrestartują aplikacje.

Dlaczego to ważne? Bo Office jest wszędzie – od korporacji po małe firmy – a spreparowany dokument to wciąż najtańsza i najskuteczniejsza przynęta. Co gorsza, to nie „kolejny błąd pamięci”, tylko obejście istniejących zabezpieczeń OLE/COM. Innymi słowy: atakujący nie forsują drzwi; znajdują okno uchylone przez technologiczny dług.

O co chodzi

CVE-2026-21509 pozwala lokalnemu, nieuprzywilejowanemu napastnikowi ominąć mechanizmy ochronne w Microsoft Office. Scenariusz jest boleśnie znajomy: ktoś musi skłonić użytkownika do otwarcia złośliwego pliku Office. Panel podglądu nie jest wektorem ataku – kliknąć trzeba naprawdę. Microsoft opisuje problem jako „poleganie na niezaufanych danych wejściowych przy decyzji bezpieczeństwa”, co w praktyce umożliwia obejście zabezpieczeń OLE chroniących przed niebezpiecznymi kontrolkami COM/OLE. [6]

Kontekst: po latach zaostrzania polityk makr napastnicy przesunęli się w stronę innych „spoiw” systemu Windows i Office. COM/OLE to leciwe, ale wszechobecne klocki integracji. Dają automatyzację i wygodę, ale od lat są ulubionym polem minowym dla przestępców. Gdy pojawia się „bypass mitigacji”, to znak, że pogoń z obrońcami trwa i atakujący uczą się szybciej, niż chcielibyśmy.

Co wiemy o luce

• Dotyka szerokiej listy wersji: Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 oraz Microsoft 365 Apps for Enterprise.
• Microsoft nie ujawnia, kto stoi za kampaniami ani szczegółów technicznych wykorzystania. Potwierdza za to, że exploit działa „w naturze”.
• Ochrona dla Office 2021 i nowszych została wdrożona serwerowo. Żeby zadziałała, trzeba zamknąć i uruchomić ponownie aplikacje Office.
• Dla Office 2016 i 2019 łatki „będą tak szybko, jak to możliwe”. Na razie są obejścia – i tak, wymagają grzebania w rejestrze.

Microsoft wprost podkreśla: panel podglądu nie służy tu jako wektor ataku. To ważne, bo wiele głośnych kampanii bazowało kiedyś na „zarażeniu spojrzeniem”.

Co robić teraz

Jeśli masz Office 2021/LTSC lub Microsoft 365:

• Zamknij wszystkie aplikacje Office i uruchom je ponownie, żeby aktywować serwerową ochronę. Potem upewnij się, że klient ma bieżące aktualizacje.

Jeśli masz Office 2016 lub 2019:

• Poczekaj na aktualizacje zabezpieczeń i wgraj je niezwłocznie po publikacji.
• Do tego czasu zastosuj obejście: zablokuj podatną kontrolkę COM przez klucz „COM Compatibility” w rejestrze (HKLM\…\Office\16.0\Common\COM Compatibility\) dla identyfikatora {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} z wartością Compatibility Flags ustawioną na 0x400. W środowiskach firmowych zrób to centralnie (GPO/Intune). Zanim ruszysz rejestr – zrób kopię zapasową i przetestuj na wycinku floty. [1]

I rzecz oczywista, ale kluczowa: informuj użytkowników, że „Word z załącznika” to nie jest nieszkodliwy mem. Tu nadal chodzi o socjotechnikę i kliknięcie.

Szerszy trend, nie incydent

To już drugi aktywnie wykorzystywany zero-day załatany przez Microsoft w tym miesiącu. W styczniowym Patch Tuesday firma załatała łącznie liczne luki, w tym podatność w Desktop Window Manager, która pomaga napastnikom w eskalacji ataków przez wyciek informacji z pamięci. Innymi słowy: nawet jeśli to konkretne zero-day wymaga otwarcia trefnego pliku, reszta zestawu narzędzi cyberprzestępcy jest gotowa przejąć pałeczkę. [1]

Warto też zauważyć, że Microsoft coraz częściej sięga po service-side change dla klientów chmurowych/nowych wydań i jednocześnie walczy z balastem wersji wieczystych (2016/2019). To nie jest spisek, tylko ekonomia bezpieczeństwa: im starsze klocki, tym więcej ostrożności i tym trudniej łatać bez skutków ubocznych.

Fakty, liczby i brak fajerwerków

• Klasyfikacja: wysoka ważność; atak o niskiej złożoności, ale wymaga interakcji użytkownika.
• Brak publicznych PoC i brak wskazania konkretnych grup atakujących.
• Microsoft podaje jasno: aktualizacja „adresuje obejście mitigacji OLE w Microsoft 365 i Office”.
• Podgląd wiadomości/dokumentów nie wystarcza do infekcji – trzeba otworzyć plik. To dobra wiadomość, ale nie usprawiedliwia złych nawyków.

Komentarz

Gdy zabezpieczenia padają nie przez spektakularne „wybuchy”, tylko przez obejścia, widać dwie rzeczy naraz: postęp obrony… i kreatywność atakujących. Dzisiejsza lekcja jest prosta jak ręczne ustawianie flagi w rejestrze: ogranicz powierzchnię ataku, aktualizuj szybko, a stare technologie traktuj jak porcelanę po babci – ładna, użyteczna, ale nie nadaje się do zmywarki.

Podsumowanie

Jeśli korzystasz z Office 2021/Microsoft 365 – zrestartuj aplikacje i śpij spokojniej. Jeśli trwasz na 2016/2019 – wprowadź obejście, wypatruj łatki i ucz ludzi ostrożności przy załącznikach. Ten zero-day zniknie, przyjdzie kolejny. Pytanie brzmi: czy Twoja organizacja będzie o krok przed, czy o kliknięcie za późno?

Źródła

• [1] https://bleepingcomputer.com/news/microsoft/microsoft-patches-actively-exploited-office-zero-day-vulnerability/
• [2] https://ground.news/article/microsoft-patches-actively-exploited-office-zero-day-vulnerability
• [3] https://filmogaz.com/118411
• [4] https://linkedin.com/pulse/microsoft-rushes-emergency-fix-actively-exploited-zr9me
• [5] https://securityaffairs.com/187349/hacking/emergency-microsoft-update-fixes-in-the-wild-office-zero-day.html
• [6] https://cybersecuritynews.com/microsoft-office-zero-day-vulnerability-2/
• [7] https://thecyberexpress.com/microsoft-emergency-fix-for-office-zero-day/
• [8] https://securitybrief.com.au/story/microsoft-patches-windows-zero-day-risky-office-flaws
• [9] https://csoonline.com/article/4116437/january-2026-microsoft-patch-tuesday-actively-exploited-zero-day-needs-attention.html