Vulnerabilidad crítica en Microsoft Office: CVE-2026-21509 ya se explota y fuerza parche OOB
La Vulnerabilidad crítica en Microsoft Office CVE-2026-21509 ya está siendo explotada “in the wild”, según confirmó Microsoft, y ha obligado a la compañía a publicar un parche de emergencia out-of-band (OOB). El fallo tiene puntuación CVSS 7.8 y se clasifica como security feature bypass, una categoría especialmente sensible en entornos corporativos por su capacidad de erosionar capas defensivas sin necesidad de explotar una RCE directa.
De acuerdo con el aviso de seguridad, CVE-2026-21509 permite a un atacante eludir protecciones diseñadas para impedir la ejecución de componentes legacy considerados de riesgo. En el centro del problema aparecen tecnologías históricamente asociadas a ataques basados en documentos, como COM y OLE, que siguen presentes en flujos de trabajo empresariales y mantienen una superficie de ataque difícil de erradicar por compatibilidad.
Vulnerabilidad crítica en Microsoft Office CVE-2026-21509: qué permite y cómo se activa
Microsoft describe el fallo como un caso de “reliance on untrusted inputs in a security decision”, es decir, una decisión de seguridad que termina apoyándose en entradas no confiables. La explotación no depende del preview pane (un vector recurrente en campañas pasadas), pero sí requiere interacción del usuario: el atacante debe enviar un archivo malicioso de Office y conseguir que la víctima lo abra.
En otras palabras, el ataque se sostiene sobre un patrón clásico: ingeniería social + documento armado, con impacto inmediato en organizaciones que intercambian ficheros Office a diario y dependen de controles heredados por compatibilidad con procesos internos.
Productos afectados y estado de los parches
La vulnerabilidad impacta a la mayoría de builds actuales de Office, incluyendo Office 2016, Office 2019, ediciones LTSC y Microsoft 365 Apps for Enterprise. Microsoft ya ha publicado updates para versiones más nuevas, pero ha confirmado que los parches específicos para Office 2016 y Office 2019 todavía no están listos y se entregarán “tan pronto como sea posible”.
Mitigaciones temporales: cambios en el registro para bloquear COM/OLE
Mientras no exista fix para Office 2016/2019, Microsoft orienta a los clientes a mitigaciones para reducir el riesgo: bloquear controles vulnerables vinculados a COM/OLE mediante cambios en el Windows registry, creando una clave de compatibilidad COM específica y estableciendo un valor Compatibility Flags (DWORD). En entornos enterprise, este enfoque puede complicarse por la necesidad de despliegue consistente y gobernado a gran escala.
CISA añade CVE-2026-21509 al catálogo KEV
La gravedad operativa de CVE-2026-21509 se refuerza con la rápida reacción de la CISA, que ha incluido el fallo en su Known Exploited Vulnerabilities (KEV) Catalog. En el ámbito federal de EE. UU., esto implica plazos formales para aplicar parches disponibles y priorización inmediata en planes de gestión de vulnerabilidades.
Para consultar los detalles oficiales, Microsoft mantiene el advisory de la vulnerabilidad en su portal de seguridad: Microsoft Security Response Center (MSRC). La referencia de CISA sobre el KEV Catalog está disponible en: CISA Known Exploited Vulnerabilities Catalog.
Microsoft no ha divulgado información pública sobre campañas, perfiles de víctimas o alcance del abuso asociado a la Vulnerabilidad crítica en Microsoft Office CVE-2026-21509, limitándose a acreditar su detección a equipos internos como Microsoft Threat Intelligence Center, MSRC y el Office Product Group Security Team. El patrón, sin embargo, vuelve a colocar a los documentos Office y a los componentes legacy en el foco de riesgo, en un arranque de año marcado por la presión de los zero-days y los parches fuera de ciclo.
