Microsoft ha publicado actualizaciones de seguridad de emergencia fuera de banda para parchear una vulnerabilidad de día cero de alta gravedad en Microsoft Office que está siendo activamente explotada en ataques.
La vulnerabilidad, rastreada como CVE-2026-21509, es un bypass de característica de seguridad que afecta a múltiples versiones de Office, incluyendo Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 y Microsoft 365 Apps for Enterprise.
Detalles de la Vulnerabilidad y Parcheo
La vulnerabilidad permite a un atacante no autenticado eludir una característica de seguridad localmente. Para explotar el fallo, el atacante debe convencer al usuario de que abra un archivo de Office malicioso, aunque el panel de vista previa no es un vector de ataque directo. La explotación requiere baja complejidad y la interacción del usuario.
Aunque las actualizaciones de seguridad están disponibles para la mayoría de las versiones de Office, Microsoft ha notificado que los parches para Microsoft Office 2016 y Office 2019 aún no están disponibles. La compañía está trabajando para liberarlos lo antes posible.
Medidas de Mitigación para Usuarios de Office 2016/2019
Mientras los parches definitivos para Office 2016 y 2019 no llegan, Microsoft ha proporcionado una medida de mitigación mediante la modificación del registro de Windows que “podría reducir la severidad de la explotación”.
Pasos para aplicar la mitigación de registro:
- Cierre todas las aplicaciones de Microsoft Office.
- Abra el Editor del Registro de Windows (regedit.exe).
- Localice la clave de registro de compatibilidad COM para su versión de Office. Las rutas comunes son:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\(Para Office de 64 bits o Office de 32 bits en Windows de 32 bits)HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\(Para Office de 32 bits en Windows de 64 bits)- O rutas de ClickToRun:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\(Para Office ClickToRun de 64 bits) yHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\(Para Office ClickToRun de 32 bits en 64 bits).
- Si la clave “COM Compatibility” no existe, créela manualmente bajo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\. - Cree una nueva subclave bajo “COM Compatibility” y nómbrela
{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}. - Dentro de la nueva clave
{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}, cree un nuevo valor DWORD (32 bits) llamadoCompatibility Flags. - Asigne el valor
400al campo “Value data” deCompatibility Flags.
Una vez realizados estos pasos, el fallo estará mitigado la próxima vez que se inicie una aplicación de Office.
Contexto de Seguridad Reciente
Esta vulnerabilidad zero-day se suma a las preocupaciones de seguridad de Microsoft en enero de 2026. Anteriormente, durante el Patch Tuesday de este mes, Microsoft corrigió 114 fallos, incluyendo otro zero-day explotado activamente (una vulnerabilidad de divulgación de información en Desktop Window Manager) y dos vulnerabilidades zero-day divulgadas públicamente.
Además, Microsoft lanzó actualizaciones fuera de banda la semana pasada para corregir problemas causados por las actualizaciones de Patch Tuesday de enero, como fallos al apagar Windows y en la funcionalidad de Cloud PC, y un problema que provocaba que el cliente clásico de Outlook se congelara.
Referencias
- CVE-2026-21509: Vulnerabilidad de bypass de característica de seguridad en Microsoft Office.