Alerta de vulnerabilidad crítica en Microsoft Office: parche de emergencia di…
Publicado el
Microsoft Office CVE-2026-21509: Vulnerabilidad crítica
Microsoft ha emitido parches de seguridad de forma inmediata para una vulnerabilidad crítica en Microsoft Office, catalogada como CVE-2026-21509. Esta vulnerabilidad, que posee un CVSS de 7.8 sobre 10, permite a un atacante eludir características de seguridad del software.
Según el aviso de Microsoft, la falla está relacionada con la dependencia de entradas no confiables en decisiones de seguridad dentro de Microsoft Office. Esto permite que un atacante no autorizado eluda dichas medidas de seguridad localmente. El problema afecta a usuarios de Microsoft 365 y Microsoft Office, específicamente en los controles COM/OLE que protegen a los usuarios de archivos dañinos.
Los ataques exitosos dependen de que el atacante envíe un archivo de Office especialmente diseñado y convenza a los destinatarios para abrirlo. Sin embargo, se ha aclarado que el Panel de Vista Previa no es un vector de ataque en este caso.
### Actualizaciones necesarias
Microsoft ha indicado que los usuarios de Office 2021 y versiones posteriores recibirán protección automáticamente a través de un cambio en el servicio, aunque será necesario reiniciar las aplicaciones de Office para que surta efecto. Para aquellos que utilicen Office 2016 y 2019, es imprescindible instalar las siguientes actualizaciones:
- Microsoft Office 2019 (edición de 32 bits) - 16.0.10417.20095 - Microsoft Office 2019 (edición de 64 bits) - 16.0.10417.20095 - Microsoft Office 2016 (edición de 32 bits) - 16.0.5539.1001 - Microsoft Office 2016 (edición de 64 bits) - 16.0.5539.1001
### Medidas de mitigación recomendadas
Como parte de las medidas de mitigación, Microsoft recomienda a los usuarios realizar cambios en el Registro de Windows siguiendo estos pasos:
1. Hacer una copia de seguridad del Registro. 2. Cerrar todas las aplicaciones de Microsoft Office. 3. Abrir el Editor del Registro. 4. Localizar la clave del registro correspondiente: - Para Office de 64 bits: `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility` - Para Office de 32 bits en Windows de 64 bits: `HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility` 5. Añadir una nueva subclave llamada `{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}`. 6. Crear un nuevo valor DWORD (32 bits) con el nombre "Compatibility Flags" y un valor hexadecimal de 400. 7. Salir del Editor del Registro y reiniciar la aplicación de Office.
### Reacción de las autoridades
Microsoft no ha proporcionado detalles específicos sobre la naturaleza y el alcance de los ataques que explotan CVE-2026-21509. Sin embargo, ha reconocido la labor del Microsoft Threat Intelligence Center (MSTIC), el Microsoft Security Response Center (MSRC) y el equipo de seguridad de Office Product Group en la identificación del problema. Además, la CISA (Agencia de Seguridad Cibernética y Seguridad de Infraestructura) de EE.UU. ha incluido esta vulnerabilidad en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), obligando a las agencias del Federal Civilian Executive Branch (FCEB) a aplicar los parches antes del 16 de febrero de 2026.
Es fundamental que los usuarios de Microsoft Office actúen de inmediato para proteger sus sistemas ante esta grave vulnerabilidad.