Vulnerabilidad Zero-day en Microsoft Office con explotación activa

En enero de 2026, Microsoft emitió una alerta y publicó actualizaciones urgentes para mitigar una vulnerabilidad de tipo zero‑day (identificada como CVE‑2026‑21509) que estaba siendo activamente explotada por atacantes. Esta vulnerabilidad permite eludir mecanismos de seguridad internos al procesar controles COM/OLE especialmente manipulados en documentos de Office, con impacto en confidencialidad, integridad y disponibilidad del sistema afectado. La falla afecta exclusivamente a entornos Microsoft Office que se ejecutan sobre sistemas operativos Windows.

CVE y severidad

CVE	Severidad (CVSS v3.1)	Clasificación
CVE-2026-21509	7.8	Alta (High) – Evasión de Funciones de Seguridad (Security Feature Bypass)

Productos afectados

CVE	Productos Afectados (Windows)	Solución (Actualización o Mitigación)
CVE-2026-21509	– Office 2016 (32 y 64 bits) – Office LTSC 2021 (64/32 bits) – Office LTSC 2024 (64/32 bits) – Office 2019 (64/32 bits) – M365 Apps Enterprise (64/32 bits)	– Office 2016: KB5002713 – Build 16.0.5539.1001 – Office 2019: Build 16.0.10417.20095 – Office LTSC 2021, LTSC 2024 y M365 Apps: actualizar a la versión más reciente disponible (Latest Build) – En caso de no poder aplicar los parches, configurar claves de registro (Compatibility Flags) como mitigación temporal.

Solución

CVE	Productos Afectados	Solución (Parches / Mitigación)
CVE‑2026‑21509	Microsoft Office 2016 (32/64‑bit) Microsoft Office LTSC 2021 & 2024 Microsoft 365 Apps for Enterprise Microsoft Office 2019	Actualizaciones de seguridad publicadas 26 ene 2026: • Office 2016 32/64‑bit – KB5002713 build 16.0.5539.1001 instalado • Office 2019 / LTSC / M365 Apps – builds actualizados más recientes con mitigación integrada Mitigación adicional: Configuración de Compatibility Flags en registro para habilitar protección de mitigación en versiones sin parche automático.

Recomendaciones

1. Actualizar inmediatamente todas las instalaciones de Microsoft Office a las versiones corregidas disponibles.
2. Habilitar actualizaciones automáticas de seguridad para Office y productos relacionados.
3. Evitar abrir documentos de fuentes no confiables, especialmente archivos adjuntos en correos electrónicos o enlaces sospechosos.
4. Implementar soluciones EDR y monitoreo para detectar comportamientos anómalos vinculados a controles COM/OLE manipulados.
5. Educar a los usuarios finales sobre ingeniería social y tácticas de phishing comunes que facilitan la explotación.
6. Revisar y endurecer políticas de macros y ejecución de contenido en Office, minimizando la explotación potencial de vectores de entrada no confiable.

Referencias

• https://cybersecuritynews.com/microsoft-office-zero-day-vulnerability-2/
• https://www.cve.org/CVERecord?id=CVE-2026-21509
• https://msrc.microsoft.com/update-guide
• https://learn.microsoft.com/en-us/officeupdates/security-updates