groźna luka w Microsoft Office – CVE-2026-21509

CVE-2026-21509 – groźna luka w Microsoft Office, którą już wykorzystują atakujący

W styczniu 2026 Microsoft wydał awaryjną aktualizację zabezpieczeń dla pakietu Office, aby załatać poważną lukę o identyfikatorze CVE-2026-21509. Luka została oceniona przez Microsoft jako high severity (7,8/10 w skali CVSS) i została aktywnie wykorzystana przez cyberprzestępców zanim użytkownicy zdążyli zainstalować poprawki.

Na czym polega luka?

CVE-2026-21509 to podatność typu „security feature bypass”, czyli obejście wbudowanych mechanizmów ochrony w Microsoft Office. Problem dotyczy sposobu, w jaki Office przetwarza i ufa danym wejściowym (tzw. untrusted inputs) przy podejmowaniu decyzji bezpieczeństwa. Atak pozwala na ominięcie zabezpieczeń związanych z OLE i COM — technologiami używanymi przez Office do osadzania obiektów lub komponentów w dokumentach.

W praktyce oznacza to, że szczególnie spreparowany dokument Office może ominąć standardowe mechanizmy ochrony, nawet jeśli użytkownik nie włączy makr — wystarczy, że plik zostanie przez niego otwarty.

Kogo dotyczy problem?

Na podatność wpływ mają prawie wszystkie współczesne wersje Office:

  • Microsoft Office 2016 i 2019
  • Microsoft Office LTSC 2021 i 2024
  • Microsoft 365 Apps for Enterprise

Starsze wersje oraz instalacje MSI wymagają ręcznego zainstalowania aktualizacji, natomiast nowsze wersje (Office 2021 i nowsze) otrzymały serwerowe poprawki, które zaczęły działać po ponownym uruchomieniu aplikacji.

Jak wyglądał atak?

Atak opiera się na phishingu lub socjotechnice — ofiary otrzymują e-maile z załączonym złośliwym dokumentem Word, Excel czy PowerPoint. Po jego otwarciu Office może omijać swoje własne zabezpieczenia i wczytywać komponenty, które normalnie nie zostałyby załadowane.

Według części analiz luki ataki były prowadzone przez zaawansowane grupy APT, w tym powiązanych z działaniami szpiegowskimi — jak APT28 („Fancy Bear”) — szeroko znaną grupę o rosyjskim powiązaniu. Rosyjscy hakerzy mieli zacząć wykorzystywać lukę zaledwie kilka dni po publikacji łaty.

Dlaczego to tak groźne?

Choć exploita nie można uruchomić zdalnie bez interakcji użytkownika, luka:

  • umożliwia wyłączenie lub obejście ważnych zabezpieczeń Office;
  • może prowadzić do wykonania kodu o uprawnieniach użytkownika;
  • jest wykorzystywana w realnych kampaniach ataków, nie tylko w testach labowych;
  • pojawiła się w katalogu CVE znanych exploitów aktywnie wykorzystywanych przez CISA (USA), co podkreśla skalę zagrożenia.

Jak się bronić?

Jeśli korzystasz z Office w organizacji lub prywatnie, działaj natychmiast:

  1. Zainstaluj najnowsze aktualizacje dla wszystkich wersji Office, zwłaszcza 2016 i 2019.
  2. W przypadku nowszych wersji Office 2021 / 365 zamknij i ponownie otwórz aplikacje, aby aktywować ochronę.
  3. Jeśli nie możesz od razu załatać środowiska, zastosuj tymczasową modyfikację rejestru zaproponowaną przez Microsoft jako tymczasową blokadę podatności.
  4. Nie otwieraj podejrzanych załączników od nieznanych nadawców — to wciąż najczęstszy wektor ataku.

Podsumowanie

CVE-2026-21509 to przypomnienie, że nawet najbardziej rozpowszechnione oprogramowanie — jak Microsoft Office — może mieć poważne luki, które atakują mechanizmy bezpieczeństwa, nie tylko błędy w kodzie. Szybka reakcja Microsoftu i publikacja łaty to dobre wieści, jednak tempo, w jakim exploit pojawił się w realnych atakach, pokazuje jak dynamiczne i niebezpieczne jest współczesne środowisko cyberzagrożeń.