La vulnerabilidad de bypass de seguridad, con un CVSS de 7.8, permite a atacantes eludir mitigaciones OLE mediante archivos maliciosos. CISA ha ordenado a las agencias federales de EE.UU. aplicar el parche antes del 16 de febrero.
Microsoft emitió este lunes un parche de seguridad de emergencia, fuera de su ciclo habitual de actualizaciones, para corregir una vulnerabilidad de día cero en Microsoft Office que ya está siendo explotada activamente por atacantes. Identificada como CVE-2026-21509, la falla permite a los adversarios eludir características de seguridad clave diseñadas para proteger a los usuarios de documentos maliciosos, lo que representa un riesgo significativo para organizaciones a nivel global.
La vulnerabilidad, que posee una puntuación CVSS de 7.8 sobre 10, es un bypass de la característica de seguridad que se origina por una dependencia de entradas no confiables en una decisión de seguridad dentro del software. Según el boletín oficial de Microsoft, un atacante puede explotar esta falla enviando un archivo de Office especialmente diseñado a una víctima y convenciéndola de abrirlo. La explotación exitosa permite eludir las mitigaciones de OLE (Object Linking and Embedding) que protegen contra la ejecución de controles COM/OLE vulnerables, un vector de ataque históricamente utilizado para comprometer sistemas Windows a través de documentos de Office. Es importante destacar que el panel de vista previa no funciona como un vector de ataque en este caso.
La gravedad del riesgo fue subrayada cuando la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE.UU. (CISA) añadió CVE-2026-21509 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Esta acción obliga a todas las agencias civiles del poder ejecutivo federal de Estados Unidos a aplicar el parche antes del 16 de febrero de 2026. Aunque Microsoft, por ahora, no ha compartido detalles técnicos sobre la naturaleza de los ataques o los actores de amenaza que están utilizando este exploit, la inclusión en el catálogo KEV confirma su uso en ataques reales y la urgencia de su remediación.
El proceso de mitigación varía según la versión de Office instalada. Para los usuarios de Microsoft 365 Apps y versiones de Office 2021 o posteriores, Microsoft ha implementado una corrección del lado del servicio que se aplica automáticamente. Sin embargo, los usuarios deben reiniciar sus aplicaciones de Office para que la protección sea efectiva. En cambio, las organizaciones que aún operan con versiones de licencia perpetua como Microsoft Office 2016 y Microsoft Office 2019 deben instalar manualmente las actualizaciones de seguridad publicadas o aplicar una mitigación a través de una modificación específica en el Registro de Windows.
Desde la perspectiva del adversario, esta vulnerabilidad es un recurso valioso para campañas de phishing y spear-phishing dirigidas. La capacidad de eludir las defensas integradas de Office aumenta drásticamente la probabilidad de éxito de un ataque que comienza con un simple correo electrónico y un archivo adjunto. Las organizaciones en América Latina, que a menudo utilizan versiones más antiguas de software y pueden tener ciclos de parcheo más lentos, se encuentran particularmente expuestas. Es imperativo que los administradores de sistemas en la región auditen sus instalaciones de Microsoft Office de inmediato y prioricen la aplicación de estos parches o mitigaciones para evitar ser víctimas de campañas de malware o ransomware que sin duda aprovecharán este nuevo vector de compromiso.
FUENTE ORIGINAL
Microsoft Security Response Center↗CURADO POR
Ricardo Burgos