CVE-2026-21509: falha crítica no Microsoft Office foi explorada pelo APT28 — patches disponíveis desde janeiro

Falha no Office permite contornar proteções críticas contra arquivos maliciosos

Uma vulnerabilidade classificada como bypass de recurso de segurança foi identificada no Microsoft Office e rapidamente incorporada ao arsenal de um dos grupos de espionagem cibernética mais ativos do mundo. A CVE-2026-21509 afeta os mecanismos de proteção OLE (Object Linking and Embedding) presentes em diversas versões do pacote — do Office 2016 até o Microsoft 365 Apps for Enterprise — e sua exploração ativa foi confirmada pelo próprio CERT ucraniano e pela empresa de segurança Zscaler em fevereiro de 2026, semanas após a Microsoft emitir um patch emergencial.

Como o ataque funciona

A exploração da CVE-2026-21509 é tecnicamente categorizada como de baixa complexidade, mas exige que a vítima execute uma ação: abrir um arquivo Office malicioso enviado pelo atacante. A Microsoft esclareceu que o Painel de Visualização do Explorer não configura vetor de ataque isolado — o documento precisa ser efetivamente aberto para que a falha seja disparada. A raiz do problema está no modo como o Office processa entradas não confiáveis ao tomar decisões de segurança, permitindo que controles COM/OLE vulneráveis sejam ativados em vez das proteções habituais. Não há registro público de prova de conceito (PoC) amplamente disponível, o que contribuiu para limitar a escala de exploração — mas não impediu grupos sofisticados de tirarem proveito da janela de exposição.

APT28 e a Operation Neusploit

O grupo russo conhecido como APT28 — também referenciado como Fancy Bear e associado à inteligência militar russa (GRU) — foi identificado como o ator por trás da exploração ativa da falha no contexto da chamada Operation Neusploit. A atuação do grupo foi detectada após a liberação do patch emergencial pela Microsoft em janeiro de 2026, o que indica que o APT28 continuou tentando comprometer alvos na janela entre a publicação do boletim de segurança e a efetiva aplicação das correções pelas organizações. Esse padrão — exploração acelerada logo após a divulgação pública de uma CVE — é marca registrada de atores patrocinados por Estados.

Patches e mitigações disponíveis

A Microsoft liberou correção emergencial ainda em janeiro de 2026. Para usuários do Office 2021 e versões mais recentes, a proteção é aplicada automaticamente via atualização de serviço após reinicialização das aplicações. Usuários de Office 2016 e 2019, no entanto, precisam aplicar manualmente as atualizações de segurança ou, como alternativa, modificar o registro do Windows adicionando uma subchave de compatibilidade COM com valor DWORD específico — procedimento que exige cautela e backup prévio do registro. A CISA (Agência de Segurança Cibernética e de Infraestrutura dos EUA) adicionou a CVE-2026-21509 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) em 26 de janeiro de 2026, com prazo até 16 de fevereiro para que agências federais americanas concluíssem a correção.

O que administradores devem fazer agora

Embora os patches estejam disponíveis há meses, o histórico de adoção de atualizações em ambientes corporativos indica que muitas organizações — especialmente aquelas com versões legadas do Office em produção — podem ainda estar expostas. A recomendação é verificar imediatamente o status de atualização de todos os endpoints com Microsoft Office instalado, priorizar a aplicação dos patches em versões 2016 e 2019, e monitorar tentativas de abertura de documentos Office provenientes de fontes externas desconhecidas. A presença do APT28 como ator explorador eleva o nível de risco para organizações governamentais, de defesa, energia e infraestrutura crítica — alvos históricos do grupo russo.

Fonte: CISO Advisor — CVE-2026-21509: zero-day no Microsoft Office sob ataque. Informações adicionais: HelpNetSecurity e SOC Prime.