Threats
A vulnerabilidade era usada para contornar defesas locais e foi incluída no catálogo de falhas exploradas da CISA, segundo a empresa
27/01/2026
|
A Microsoft lançou correções de segurança para a vulnerabilidade CVE-2026-21509, uma falha zero-day no Microsoft Office que está a ser explorada ativamente em ataques dirigidos. A falha permite contornar mecanismos de proteção da aplicação e foi identificada pelos próprios investigadores de segurança da empresa norte-americana. De acordo com a descrição oficial, a vulnerabilidade resulta da utilização de entradas não fiáveis em decisões de segurança no Microsoft Office, permitindo a um atacante não autorizado contornar funcionalidades de proteção a nível local. Em concreto, a falha possibilita ultrapassar as mitigações OLE existentes no Microsoft 365 e no Microsoft Office, que têm como objetivo proteger os utilizadores de controlos COM/OLE vulneráveis. A exploração do zero-day requer que o atacante convença a vítima a abrir um ficheiro Office malicioso, o que implica técnicas de engenharia social. A complexidade do ataque e a necessidade potencial de cadeias de exploração em várias fases sugerem que esta vulnerabilidade está a ser utilizada em operações altamente direcionadas, como espionagem ou ataques de elevado valor, e não em campanhas massivas e oportunistas. A Microsoft disponibilizou atualizações para todas as versões afetadas do Office, incluindo Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 e Microsoft 365 Apps for Enterprise. Para organizações que não consigam aplicar de imediato as atualizações, a empresa indica que existem também medidas de mitigação alternativas. Entretanto, a agência norte-americana CISA adicionou a CVE-2026-21509 ao seu catálogo de Known Exploited Vulnerabilities, determinando que as entidades governamentais devem corrigir a falha até 16 de fevereiro. A correção deste zero-day integra o conjunto de atualizações do Patch Tuesday de janeiro de 2026, no qual a Microsoft resolveu mais de 110 vulnerabilidades, incluindo outra falha zero-day no Windows cuja exploração também foi detetada internamente pela empresa. Até ao momento, a Microsoft não divulgou detalhes adicionais sobre os ataques associados a estas vulnerabilidades. |
Receba todas as novidades na sua caixa de correio!
NEWS
Base europeia de vulnerabilidades entra em operação
OPINION
O que muda realmente com a NIS2 para as equipas de TI?
OPINION
O que os primeiros ataques a agentes de IA nos dizem sobre 2026
ANALYSIS
Ciberataques agravam níveis de stress e esgotamento nas PME portuguesas
S.LABS
A identificação de risco como base da Cibersegurança
THREATS
CISA alerta para vulnerabilidades Linux exploradas ativamente
THREATS
OpenSSL corrige vulnerabilidade crítica que permite execução remota de código
THREATS
Extensões para Chrome e Edge usadas para roubar sessões do ChatGPT
THREATS
Falhas de segurança em controlo de acessos físicos expõem grandes organizações europeias
THREATS
Microsoft corrige falha crítica no Office explorada ativamente
