Microsoft ha publicado una actualización de emergencia para corregir CVE-2026-21509, una vulnerabilidad en Microsoft Office que ya está siendo explotada. El fallo permite saltarse una protección de seguridad mediante documentos manipulados, lo que incrementa el riesgo de infecciones a través de campañas de correo malicioso.
Microsoft ha lanzado una corrección de emergencia (out-of-band) para CVE-2026-21509, una vulnerabilidad de día cero en Microsoft Office que, según la propia compañía, ya está siendo explotada. Aunque no se han divulgado detalles públicos sobre quién está detrás o a qué organizaciones afecta, el hecho de que exista explotación activa eleva la prioridad del parcheo en entornos domésticos y, especialmente, corporativos.
El problema se describe como un “bypass” de una función de seguridad, es decir, un fallo que permite esquivar una protección que debería bloquear ciertos comportamientos peligrosos. En términos prácticos, el riesgo principal es que un atacante pueda aprovechar un documento de Office manipulado para rodear mecanismos pensados para reducir ataques basados en componentes antiguos integrados en documentos (tecnologías históricas de Windows que han sido objetivo recurrente en campañas de malware).
La explotación requiere interacción del usuario: el atacante necesita que la víctima abra el archivo, normalmente tras recibirlo por correo (phishing) o mensajería. Microsoft también ha señalado que el Panel de vista previa no es un vector de ataque, lo que reduce el riesgo de compromiso por el mero hecho de previsualizar un adjunto. Aun así, abrir el documento sigue siendo suficiente para quedar expuesto si el equipo no está actualizado.
Como referencia de la gravedad, la vulnerabilidad ha sido incluida en el catálogo de Known Exploited Vulnerabilities (KEV), con una fecha límite de corrección del 16 de febrero de 2026 para agencias gubernamentales estadounidenses.
Más información
- Microsoft Office Zero-Day (CVE-2026-21509) – Emergency Patch Issued for Active Exploitation.
https://thehackernews.com/2026/01/microsoft-issues-emergency-patch-for.html
- Microsoft patches actively exploited Office zero-day vulnerability.
https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-actively-exploited-office-zero-day-vulnerability/
- CVE-2026-21509
https://nvd.nist.gov/vuln/detail/CVE-2026-21509
Deja una respuesta