.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Il 26 gennaio 2026 Microsoft ha rilasciato un aggiornamento out-of-band per correggere una vulnerabilità ad alta gravità (punteggio CVSS pari a 7,8) che interessa diversi prodotti Microsoft Office. Questa vulnerabilità, identificata come CVE-2026-21509, è attivamente sfruttata in rete ed è stata aggiunta al Catalogo delle Vulnerabilità Note Sfruttate (KEV) di CISA.
Il problema deriva dal fatto che l’applicazione si affida a input non attendibili nel prendere decisioni di sicurezza, consentendo agli attaccanti di aggirare le misure di protezione Object Linking and Embedding (OLE) integrate in Microsoft Office e Microsoft 365. Per sfruttare la vulnerabilità, un attaccante deve convincere un utente ad aprire un file Office malevolo appositamente creato.
Il software interessato include Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 e Microsoft 365 Apps for Enterprise.
Azioni consigliate
Le organizzazioni dovrebbero individuare le istanze vulnerabili di Microsoft Office nei propri ambienti e applicare gli aggiornamenti o le mitigazioni appropriate. Microsoft raccomanda di implementare le protezioni il prima possibile, vista l’attiva attività di sfruttamento.
Azioni Sophos
SophosLabs sta valutando la fattibilità di rilevamenti specifici per questa minaccia.