Microsoft corrige en urgence une faille zero-day exploitée dans Office

Microsoft colmate en urgence une faille zero-day activement exploitée dans Office

Microsoft a dû réagir rapidement face à une vulnérabilité zero-day critique actuellement exploitée dans la nature. Identifiée sous la référence CVE-2026-21509, cette faille affecte un large éventail de versions de Microsoft Office, y compris Microsoft 365, Office 2016, Office 2019, ainsi que les éditions LTSC 2021 et 2024.Face à des attaques actives, le groupe de Redmond a publié des mises à jour de sécurité hors cycle, une procédure généralement réservée aux failles jugées particulièrement dangereuses.

Une faille liée aux mécanismes OLE/COM

Selon Microsoft, la vulnérabilité permet de contourner certaines protections de sécurité liées à OLE (Object Linking and Embedding), une technologie historique utilisée pour intégrer des objets provenant d’autres applications Office ou de composants externes. Dans son avis de sécurité, Microsoft indique que le correctif vise à bloquer « une vulnérabilité permettant de contourner les atténuations OLE mises en place pour protéger les utilisateurs contre des contrôles COM/OLE vulnérables ».Concrètement, un attaquant local non authentifié peut exploiter la faille en incitant une victime à ouvrir un fichier Office spécialement conçu. Même si le panneau de prévisualisation n’est pas considéré comme un vecteur d’attaque direct, l’ouverture du document suffit à déclencher l’exploitation dans certains scénarios.

Un correctif déployé de manière progressive

La stratégie de correction adoptée par Microsoft varie selon les versions d’Office :

• Office 2021 et versions ultérieures
  Les utilisateurs bénéficient d’une protection automatique via un correctif côté serveur. Un simple redémarrage des applications Office est nécessaire pour que les nouvelles mesures de sécurité soient actives.
• Office 2016 et Office 2019
  Les mises à jour de sécurité n’étaient pas immédiatement disponibles lors de la divulgation initiale. Microsoft a toutefois publié les correctifs quelques heures plus tard, après avoir communiqué des mesures d’atténuation temporaires, toujours accessibles dans l’avis de sécurité officiel.

Cette approche en deux temps a permis de réduire la fenêtre d’exposition tout en laissant aux administrateurs le temps d’appliquer les correctifs manuellement si nécessaire.

Microsoft Defender déjà en mesure de bloquer l’exploitation

Dans une déclaration relayée par BleepingComputer, Microsoft a confirmé que Microsoft Defender dispose déjà de signatures de détection capables d’identifier et de bloquer les tentatives d’exploitation liées à CVE-2026-21509.Par ailleurs, la fonctionnalité Vue protégée (Protected View), activée par défaut dans Office, constitue une barrière supplémentaire. Elle empêche l’exécution automatique de contenus potentiellement dangereux provenant d’Internet ou de pièces jointes non fiables.

Recommandations de sécurité

Microsoft et les experts en cybersécurité recommandent :

• d’appliquer les mises à jour Office sans délai
• de redémarrer les applications Office pour activer les protections
• de ne pas désactiver la Vue protégée
• de maintenir Microsoft Defender ou une solution équivalente à jour

Comme souvent avec les zero-day, la rapidité de déploiement des correctifs reste le facteur clé pour limiter les risques.