.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Le 26 janvier 2026, Microsoft a publié une mise à jour out-of-band pour corriger une vulnérabilité de gravité élevée (score CVSS de 7,8) affectant plusieurs produits Microsoft Office. Cette vulnérabilité, référencée sous le nom de CVE-2026-21509, est activement exploitée et a été ajoutée au catalogue KEV (Known Exploited Vulnerabilities) de la CISA.
Le problème est défini comme suit : « reliance on untrusted inputs when making security decisions », permettant ainsi aux attaquants de contourner les mesures de mitigation de la sécurité OLE (Object Linking and Embedding) intégrées à Microsoft Office et Microsoft 365. L'exploitation implique qu'un attaquant parvienne à convaincre un utilisateur d'ouvrir un fichier Office malveillant spécialement conçu.
Les logiciels concernés incluent Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 et Microsoft 365 Apps for Enterprise.
Actions recommandées
Les organisations doivent identifier les instances vulnérables de Microsoft Office dans leurs environnements et installer les mises à jour ou les mesures de mitigation appropriées. Microsoft recommande de mettre en place des protections dès que possible compte tenu de l'exploitation active de cette faille.
Actions Sophos
SophosLabs étudie la faisabilité d’une mise en œuvre de détections concernant cette menace.
Billet inspiré de Microsoft Office vulnerability (CVE-2026-21509) in active exploitation, sur le Blog Sophos.