Microsoft publicó el lunes parches de seguridad fuera de banda para una vulnerabilidad de día cero de Microsoft Office de alta gravedad explotada en los ataques.

La vulnerabilidad, rastreada como CVE-2026-21509 , tiene una puntuación CVSS de 7,8 sobre 10,0. Se ha descrito como una omisión de una función de seguridad en Microsoft Office.

«Confiar en entradas no confiables en una decisión de seguridad en Microsoft Office permite a un atacante no autorizado eludir una función de seguridad a nivel local», dijo el gigante tecnológico dijo en un aviso.

«Esta actualización corrige una vulnerabilidad que evita OLÉ mitigaciones en Microsoft 365 y Microsoft Office, que protegen a los usuarios de los controles COM/OLE vulnerables».

La explotación exitosa de la falla depende de que un atacante envíe un archivo de Office especialmente diseñado y convenza a los destinatarios de que lo abran. También señaló que el panel de vista previa no es un vector de ataque.

El fabricante de Windows dijo que los clientes que ejecuten Office 2021 y versiones posteriores estarán protegidos automáticamente mediante un cambio en el lado del servicio , pero deberán reiniciar sus aplicaciones de Office para que esto surta efecto. Para aquellos que utilizan Office 2016 y 2019, es necesario instalar las siguientes actualizaciones:

  • Microsoft Office 2019 (edición de 32 bits) - 16.0.10417.20095
  • Microsoft Office 2019 (edición de 64 bits) - 16.0.10417.20095
  • Microsoft Office 2016 (edición de 32 bits) - 16.0.5539.1001
  • Microsoft Office 2016 (edición de 64 bits) - 16.0.5539.1001

Como medida de mitigación, la empresa insta a los clientes a realizar un cambio en el registro de Windows siguiendo los pasos que se describen a continuación:

  • Toma un copia de seguridad del Registro
  • Cierre todas las aplicaciones de Microsoft Office
  • Inicie el Editor del Registro
  • Busque la subclave de registro adecuada -
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Office\ 16.0\ Common\ COM Compatibilidad\ para MSI Office de 64 bits o MSI Office de 32 bits en Windows de 32 bits
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ WOW6432Node\ Microsoft\ Office\ 16.0\ Common\ COM Compatibility\ para MSI Office de 32 bits en Windows de 64 bits
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Office\ ClickToRun\ REGISTRY\ MACHINE\ Software\ Microsoft\ Office\ 16.0\ Common\ COM Compatibility\ para Click2Run Office de 64 bits o Click2Run Office de 32 bits en Windows de 32 bits
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Office\ ClickToRun\ REGISTRY\ MACHINE\ Software\ WOW6432Node\ Microsoft\ Office\ 16.0\ Common\ COM Compatibility\ para Click2Run Office de 32 bits en Windows de 64 bits
  • Agregue una nueva subclave denominada {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} haciendo clic con el botón derecho en el nodo de compatibilidad COM y seleccionando Agregar clave.
    • Dentro de esa subclave, añada un nuevo valor haciendo clic con el botón derecho en la nueva subclave y seleccionando Nuevo > Valor DWORD (32 bits)
    • Agregue un valor hexadecimal REG_DWORD denominado «Banderas de compatibilidad» con un valor de 400
  • Salga del Editor del Registro e inicie la aplicación de Office

Microsoft no ha compartido ningún detalle sobre la naturaleza y el alcance de los ataques que explotan el CVE-2026-21509. Dio crédito al Centro de Inteligencia sobre Amenazas de Microsoft (MSTIC), al Centro de Respuesta a la Seguridad de Microsoft (MSRC) y al equipo de seguridad del grupo de productos de Office por descubrir el problema.

El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) a agregar la falla de sus vulnerabilidades explotadas conocidas ( KEV ), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen los parches antes del 16 de febrero de 2026.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.