Microsoft emitió el lunes parches de seguridad fuera de banda para una vulnerabilidad de día cero de alta gravedad en Microsoft Office que está siendo explotada activamente en ataques. La falla, registrada como CVE-2026-21509, cuenta con una puntuación CVSS de 7.8 sobre 10.0 y ha sido catalogada como una omisión de la característica de seguridad en Microsoft Office.
La dependencia de entradas no confiables en una decisión de seguridad en Microsoft Office permite que un atacante no autorizado evite una característica de seguridad localmente.
La compañía explicó que esta actualización soluciona una vulnerabilidad que elude las mitigaciones OLE en Microsoft 365 y Microsoft Office, las cuales protegen a los usuarios de controles COM/OLE vulnerables. La explotación exitosa de la falla requiere que un atacante envíe un archivo de Office especialmente diseñado y convenza al destinatario de abrirlo. Microsoft señaló que el Panel de vista previa no es un vector de ataque.
Los clientes que ejecutan Office 2021 y versiones posteriores estarán protegidos automáticamente mediante un cambio del lado del servicio, pero deberán reiniciar sus aplicaciones de Office para que el cambio surta efecto. Para quienes usan Office 2016 y 2019, es necesario instalar las siguientes actualizaciones:
- Microsoft Office 2019 (edición de 32 bits) - 16.0.10417.20095
- Microsoft Office 2019 (edición de 64 bits) - 16.0.10417.20095
- Microsoft Office 2016 (edición de 32 bits) - 16.0.5539.1001
- Microsoft Office 2016 (edición de 64 bits) - 16.0.5539.1001
Como medida de mitigación, Microsoft recomienda realizar un cambio en el Registro de Windows siguiendo estos pasos:
- Realice una copia de seguridad del Registro.
- Cierre todas las aplicaciones de Microsoft Office.
- Inicie el Editor del Registro.
- Localice la subclave de registro adecuada según su versión de Office:
- - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\ para Office MSI de 64 bits o Office MSI de 32 bits en Windows de 32 bits
- - HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ para Office MSI de 32 bits en Windows de 64 bits
- - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ para Office Click2Run de 64 bits o Office Click2Run de 32 bits en Windows de 32 bits
- - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ para Office Click2Run de 32 bits en Windows de 64 bits
- Agregue una nueva subclave llamada {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} haciendo clic derecho en el nodo COM Compatibility y seleccionando Add Key.
- Dentro de esa subclave, agregue un nuevo valor DWORD (32 bits) llamado Compatibility Flags con un valor hexadecimal de 400.
- Salga del Editor del Registro e inicie la aplicación de Office.
Microsoft no ha compartido detalles sobre la naturaleza y el alcance de los ataques que explotan CVE-2026-21509. La compañía atribuyó el descubrimiento del problema al Centro de Inteligencia de Amenazas de Microsoft (MSTIC), al Centro de Respuesta de Seguridad de Microsoft (MSRC) y al Equipo de Seguridad del Grupo de Productos de Office.
Este desarrollo llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar la falla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen los parches antes del 16 de febrero de 2026.
