文章总结： 微软紧急修复正被活跃利用的Office零日漏洞CVE-2026-21509，攻击者可通过钓鱼文件绕过OLE保护机制获取高权限。该漏洞影响多版本Office，建议立即更新补丁或调整注册表设置，并加强钓鱼邮件监控与EDR部署以防范勒索软件入侵。 综合评分： 86 文章分类： 漏洞预警,办公安全,应急响应,威胁情报

微软Office 0 day正被用于攻击活动

网安百色

2026年1月27日 19:06 广西

微软于2026年1月26日发布紧急带外安全更新，以解决CVE-2026-21509漏洞，这是一个正在被攻击者积极利用的Microsoft Office零日安全功能绕过漏洞。

该漏洞被评定为”重要”，CVSS v3.1基础评分为7.8，它依赖于安全决策中的不可信输入来规避针对易受攻击的COM/OLE控件的OLE缓解措施。

CVE-2026-21509使本地攻击者能够在诱骗用户通过钓鱼或社会工程学手段打开恶意文件后绕过Office保护。

该攻击向量需要低复杂度、无需特权和用户交互，但对机密性、完整性和可用性产生高影响(C:H/I:H/A:H)。

微软威胁情报中心(MSTIC)确认了漏洞利用的检测，这标志着它是本月在”补丁星期二”更新后修复的第二个被积极利用的零日漏洞。

受影响产品 该漏洞影响旧版和当前版Office；补丁于2026年1月26日发布。

| 产品 | 架构 | KB文章 | 构建版本 | | — | — | — | — | | Office 2016 | 64位 | 5002713 | 16.0.5539.1001 | | Office 2016 | 32位 | 5002713 | 16.0.5539.1001 | | Office LTSC 2024 | 64/32位 | N/A | 最新 | | Office LTSC 2021 | 64/32位 | N/A | 最新 | | M365 Apps Enterprise | 64/32位 | N/A | 最新 | | Office 2019 | 64/32位 | N/A | 16.0.10417.20095 |

通过”文件”>”账户”>”关于”验证构建版本。

Office 2021+用户在重启后将获得自动服务端保护；2016/2019需要更新或注册表调整。

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM CompatibilityEAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}下添加DWORD “Compatibility Flags”(值为400)(根据架构/Click-to-Run调整路径)。先备份注册表；更改后重启应用程序。

组织应优先考虑修补、启用自动更新，并监控钓鱼IOCs，如可疑的Office附件。威胁行为者倾向于使用此向量进行勒索软件/APT初始访问；为COM/OLE异常部署EDR。目前尚无公开的PoCs或行为者被命名，但请关注CISA KEV的更新。

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色 《微软Office 0 day正被用于攻击活动》