Microsoft a publié un correctif d'urgence pour une vulnérabilité zero-day très grave dans Office qui permet aux pirates de contourner les contrôles de sécurité des documents et qui est actuellement exploitée dans la nature via des fichiers malveillants.
Microsoft a publié un correctif d'urgence pour la faille zero-day, référencée sous le nom CVE-2026-21509, et l'a classée comme « vulnérabilité de contournement de la fonctionnalité de sécurité Microsoft Office » avec un score CVSS de 7,8 sur 10.
Cette faille permet aux pirates de contourner les mesures de protection OLE (Object Linking and Embedding) conçues pour bloquer les contrôles COM/OLE non sécurisés dans les documents Office. Cela signifie qu'une pièce jointe malveillante pourrait infecter un PC malgré les protections intégrées.
Dans un scénario réel, un pirate crée un faux fichier Word, Excel ou PowerPoint contenant des « mini-programmes » cachés ou des objets spéciaux. Il peut alors exécuter du code et effectuer d'autres actions sur l'ordinateur affecté. Normalement, Office dispose de contrôles de sécurité qui bloquent ces mini-programmes, car ils sont dangereux.
Cependant, cette vulnérabilité permet à l'attaquant de modifier la structure du fichier et les informations cachées de manière à faire croire à Office que le mini-programme dangereux contenu dans le document est inoffensif. Office ignore alors les contrôles de sécurité habituels et autorise l'exécution du code caché.
Le code permettant de tester le contournement étant accessible au public, ce qui augmente le risque d'exploitation, il est vivement recommandé aux utilisateurs d'appliquer le correctif.
Comment protéger votre système
La marche à suivre dépend de la version d'Office que vous utilisez.
Les produits concernés sont Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 et Microsoft 365 Apps (32 bits et 64 bits).
Office 2021 et versions ultérieures sont protégés par une modification côté serveur une fois Office redémarré. Pour l'appliquer, fermez toutes les applications Office et redémarrez-les.
Office 2016 et 2019 nécessitent une mise à jour manuelle. Exécutez Windows en activant l'option permettant de mettre à jour d'autres produits Microsoft.
Si vous utilisez la version 16.0.10417.20095 ou une version supérieure, aucune action n'est requise. Vous pouvez vérifier votre numéro de version en ouvrant n'importe quelle application Office, en accédant à votre page de compte et en sélectionnant À propos pour l'application que vous avez ouverte. Assurez-vous que le numéro de version en haut de la page est 16.0.10417.20095 ou supérieur.
Ce qui aide toujours :
- N'ouvrez pas les pièces jointes non sollicitées sans les avoir vérifiées auprès d'un expéditeur de confiance.
- Considérez tous les documents inattendus, en particulier ceux qui vous demandent d'« activer le contenu » ou d'« activer la modification », comme suspects.
- Gardez les macros désactivées par défaut et n'autorisez que les macros signées provenant d'éditeurs de confiance.
- Utilisez une solution anti-malware en temps réel à jour.
- Maintenez votre système d'exploitation et vos logiciels à jour.
Nous ne nous contentons pas de signaler les menaces, nous les éliminons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.
