En enero de 2026, Microsoft emitió una alerta y publicó actualizaciones urgentes para mitigar una vulnerabilidad de tipo zero‑day (identificada como CVE‑2026‑21509) que estaba siendo activamente explotada por atacantes. Esta vulnerabilidad permite eludir mecanismos de seguridad internos al procesar controles COM/OLE especialmente manipulados en documentos de Office, con impacto en confidencialidad, integridad y disponibilidad del sistema afectado.
CVE y severidad
| CVE | Severidad | Componente afectado | Explotación activa | Tipo de vulnerabilidad |
|---|---|---|---|---|
| CVE‑2026‑21509 | Crítica | Protocolo DCERPC en VMware vCenter Server | Sí | Escritura fuera de límites (Out-of-bounds Write) |
Solución
| CVE | Productos Afectados | Solución (Parches / Mitigación) |
|---|---|---|
| CVE‑2026‑21509 | Microsoft Office 2016 (32/64‑bit) Microsoft Office LTSC 2021 & 2024 Microsoft 365 Apps for Enterprise Microsoft Office 2019 | Actualizaciones de seguridad publicadas 26 ene 2026: • Office 2016 32/64‑bit – KB5002713 build 16.0.5539.1001 instalado • Office 2019 / LTSC / M365 Apps – builds actualizados más recientes con mitigación integrada Mitigación adicional: Configuración de Compatibility Flags en registro para habilitar protección de mitigación en versiones sin parche automático. |
Recomendaciones
- Actualizar inmediatamente todas las instalaciones de Microsoft Office a las versiones corregidas disponibles.
- Habilitar actualizaciones automáticas de seguridad para Office y productos relacionados.
- Evitar abrir documentos de fuentes no confiables, especialmente archivos adjuntos en correos electrónicos o enlaces sospechosos.
- Implementar soluciones EDR y monitoreo para detectar comportamientos anómalos vinculados a controles COM/OLE manipulados.
- Educar a los usuarios finales sobre ingeniería social y tácticas de phishing comunes que facilitan la explotación.
- Revisar y endurecer políticas de macros y ejecución de contenido en Office, minimizando la explotación potencial de vectores de entrada no confiable.
Referencias
- https://cybersecuritynews.com/microsoft-office-zero-day-vulnerability-2/
- https://www.cve.org/CVERecord?id=CVE-2026-21509
- https://msrc.microsoft.com/update-guide
- https://learn.microsoft.com/en-us/officeupdates/security-updates