Microsoft prend des mesures d'urgence en publiant des mises à jour de sécurité pour combler une vulnérabilité zero-day. Activement exploitée dans des attaques, elle est référencée CVE-2026-21509 et affecte de nombreuses versions d'Office, y compris Microsoft 365, Office 2016, 2019 et les versions LTSC 2021 et 2024.

Une idée du fonctionnement de l'attaque

La faille permet de contourner les protections liées à la technologie OLE (Object Linking and Embedding), un mécanisme pour intégrer du contenu provenant de différentes applications.

Selon Microsoft, la mise à jour hors cycle corrige " une vulnérabilité qui contourne les atténuations OLE dans Microsoft 365 et Microsoft Office pour la protection des utilisateurs contre les contrôles COM/OLE vulnérables ".

Bien que le panneau de prévisualisation ne soit pas un vecteur d'attaque direct, un attaquant local non authentifié peut réussir l'exploitation sans trop de difficulté grâce à un fichier piégé.

Un déploiement des correctifs en deux temps

La stratégie de déploiement des correctifs n'est pas uniforme pour tous les utilisateurs. Microsoft indique que " les clients sur Office 2021 et les versions ultérieures seront automatiquement protégés via un changement côté serveur ". Pour que cette protection soit effective, un simple redémarrage des applications Office est nécessaire.

Les mises à jour de sécurité idoines pour Microsoft Office 2016 et 2019 n'ont pas été immédiatement disponibles au moment de sonner l'alerte, mais Microsoft a fini par les proposer quelques heures plus tard. Dans l'entremise, des mesures d'atténuation ont été fournies. Elle sont toujours détaillées dans l'avis de sécurité de Microsoft.

Une exploitation bloquée par Microsoft Defender

Un porte-parole de Microsoft a précisé à BleepingComputer que Microsoft Defender dispose de détections pour bloquer l'exploitation, et que le paramètre par défaut " Vue Protégée " offre une couche de protection supplémentaire en bloquant les fichiers malveillants provenant d'internet.