Microsoft lanza parche de emergencia ante explotación activa de vulnerabilidad "Zero-Day" en Office
En una acción poco habitual fuera de su ciclo mensual de actualizaciones, Microsoft ha emitido parches de seguridad de emergencia ("out-of-band") para mitigar una vulnerabilidad crítica de día cero que está siendo explotada activamente por atacantes.
La falla, identificada como CVE-2026-21509, afecta a la suite de Microsoft Office y ha sido clasificada con una severidad alta, alcanzando una puntuación CVSS de 7.8 sobre 10.0.
El núcleo del problema: CVE-2026-21509
Según el aviso de seguridad de la compañía, la vulnerabilidad reside en un fallo de omisión de funciones de seguridad (Security Feature Bypass). Específicamente, el error permite que un atacante engañe al sistema para que tome decisiones de seguridad basadas en "entradas no confiables", permitiendo saltarse las mitigaciones de OLE (Object Linking and Embedding) en Microsoft 365 y Office.
Estas protecciones están diseñadas originalmente para salvaguardar a los usuarios contra controles COM/OLE vulnerables, que históricamente han sido un vector común para la ejecución de código malicioso.
Mecanismo de ataque y alcance
El vector de ataque requiere la interacción del usuario. Para que la explotación sea exitosa, un atacante debe enviar un archivo de Office especialmente modificado y convencer a la víctima de que lo abra.
Microsoft aclaró un punto importante para los administradores de TI: el "Panel de vista previa" (Preview Pane) no es un vector de ataque para esta vulnerabilidad, lo que reduce ligeramente el riesgo de infección accidental sin abrir el documento.
Respuesta de CISA y medidas de mitigación
Debido a la evidencia de explotación en el "mundo real", la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha incluido de inmediato esta vulnerabilidad en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Las agencias federales tienen hasta el 16 de febrero de 2026 para aplicar las actualizaciones correspondientes.
Acciones recomendadas por Microsoft:
Actualización Automática: Los usuarios de Office 2021 y versiones posteriores recibirán una protección automática mediante cambios en el lado del servicio, aunque se requiere reiniciar las aplicaciones de Office para que el parche surta efecto.
Intervención en el Registro: Para entornos específicos que requieran una mitigación manual, Microsoft ha detallado pasos para modificar el Registro de Windows, añadiendo claves de compatibilidad COM específicas que bloquean el comportamiento malicioso.
Créditos y descubrimiento
El hallazgo fue un esfuerzo conjunto entre varios equipos de élite de la compañía, incluyendo el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) y el Centro de Respuesta de Seguridad de Microsoft (MSRC).
Los expertos recomiendan a todas las organizaciones y usuarios domésticos verificar que sus aplicaciones de Office estén actualizadas de inmediato, dado que los grupos de ciberdelincuentes suelen intensificar sus ataques una vez que los detalles de una vulnerabilidad de este tipo se hacen públicos.
