De acordo com a descrição oficial, a vulnerabilidade resulta da utilização de entradas não fiáveis em decisões de segurança no Microsoft Office, permitindo a um atacante não autorizado contornar funcionalidades de proteção a nível local. Em concreto, a falha possibilita ultrapassar as mitigações OLE existentes no Microsoft 365 e no Microsoft Office, que têm como objetivo proteger os utilizadores de controlos COM/OLE vulneráveis.
A exploração do zero-day requer que o atacante convença a vítima a abrir um ficheiro Office malicioso, o que implica técnicas de engenharia social. A complexidade do ataque e a necessidade potencial de cadeias de exploração em várias fases sugerem que esta vulnerabilidade está a ser utilizada em operações altamente direcionadas, como espionagem ou ataques de elevado valor, e não em campanhas massivas e oportunistas.
França diz adeus ao Microsoft Teams e Zoom para apostar em plataforma própria
A Microsoft disponibilizou atualizações para todas as versões afetadas do Office, incluindo Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 e Microsoft 365 Apps for Enterprise. Para organizações que não consigam aplicar de imediato as atualizações, a empresa indica que existem também medidas de mitigação alternativas.
Entretanto, a agência norte-americana CISA adicionou a CVE-2026-21509 ao seu catálogo de Known Exploited Vulnerabilities, determina que as entidades governamentais devem corrigir a falha até 16 de fevereiro.
A correção deste zero-day integra o conjunto de actualizações do Patch Tuesday de janeiro de 2026, no qual a Microsoft resolveu mais de 110 vulnerabilidades, incluindo outra falha zero-day no Windows cuja exploração também foi detectada internamente pela empresa. Até ao momento, a Microsoft não divulgou detalhes adicionais sobre os ataques associados a estas vulnerabilidades.