Microsoft corrige vulnerabilidad de día cero en Office

AXCESS · Enero 26, 2026, 05:06:43 PM

Microsoft ha publicado actualizaciones de seguridad de emergencia fuera del ciclo habitual para corregir una vulnerabilidad de día cero de alta gravedad en Microsoft Office que está siendo explotada en ataques.

Esta vulnerabilidad de omisión de funciones de seguridad, identificada como CVE-2026-21509, afecta a varias versiones de Office, incluyendo Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 y Microsoft 365 Apps para empresas (el servicio de suscripción basado en la nube de la compañía).

Sin embargo, como se indica en el aviso de seguridad publicado hoy, las actualizaciones de seguridad para Microsoft Office 2016 y 2019 aún no están disponibles y se publicarán lo antes posible.

Si bien el panel de vista previa no constituye un vector de ataque, los atacantes locales no autenticados aún pueden explotar la vulnerabilidad mediante ataques de baja complejidad que requieren la interacción del usuario.

"La dependencia de entradas no confiables en una decisión de seguridad en Microsoft Office permite que un atacante no autorizado eluda una función de seguridad localmente. El atacante debe enviar al usuario un archivo de Office malicioso y convencerlo de que lo abra", explicó Microsoft.

"Esta actualización corrige una vulnerabilidad que elude las medidas de mitigación de OLE en Microsoft 365 y Microsoft Office, las cuales protegen a los usuarios de los controles COM/OLE vulnerables".

"Los clientes que utilizan Office 2021 y versiones posteriores estarán protegidos automáticamente mediante un cambio en el servicio, pero deberán reiniciar sus aplicaciones de Office para que el cambio surta efecto", agregó.

Aunque Office 2016 y 2019 no se actualizan inmediatamente para protegerse contra ataques, Microsoft ha proporcionado medidas de mitigación confusas que podrían "reducir la gravedad de la explotación".

Hemos intentado aclarar esto con las siguientes instrucciones:

Cierre todas las aplicaciones de Microsoft Office.

Cree una copia de seguridad del Registro de Windows, ya que editarlo incorrectamente puede causar problemas con el sistema operativo.

Abra el Editor del Registro de Windows (regedit.exe) haciendo clic en el menú Inicio, escribiendo regedit y presionando Enter cuando aparezca en los resultados de la búsqueda.

Una vez abierto, use la barra de direcciones en la parte superior para verificar si existe una de las siguientes claves del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\ (para Office de 64 bits o Office de 32 bits en Windows de 32 bits)

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ (para Office de 32 bits en Windows de 64 bits)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\

Si no existe ninguna de las claves anteriores, cree una nueva clave "COM Compatibility" en esta ruta del Registro haciendo clic con el botón derecho en Common y seleccionando Nuevo -> Clave.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\

Ahora haga clic con el botón derecho en la clave COM Compatibility existente o recién creada y seleccione Nuevo -> Valor DWORD (32 bits). Asigne el nombre "Compatibility Flags" al nuevo valor.
Una vez creado el valor "Compatibility Flags", haga doble clic sobre él e introduzca 400 en el campo "Datos del valor".

Tras seguir estos pasos, la vulnerabilidad se mitigará la próxima vez que inicie una aplicación de Office.

Microsoft no ha revelado quién descubrió la vulnerabilidad ni detalles sobre cómo se explota, y un portavoz no estuvo disponible de inmediato para hacer comentarios.

A principios de este mes, como parte de las actualizaciones de seguridad de enero de 2026 (Patch Tuesday), Microsoft publicó actualizaciones de seguridad para 114 vulnerabilidades, incluida una que estaba siendo explotada activamente y dos vulnerabilidades de día cero divulgadas públicamente.

La otra vulnerabilidad de día cero que se corrigió este mes es una vulnerabilidad de divulgación de información en el Administrador de ventanas de escritorio, clasificada por Microsoft como de "gravedad importante", que permite a los atacantes leer direcciones de memoria asociadas con el puerto ALPC remoto.

La semana pasada, Microsoft también lanzó varias actualizaciones de Windows fuera de ciclo para corregir errores de apagado y de Cloud PC provocados por las actualizaciones de Patch Tuesday de enero, así como otro conjunto de actualizaciones de emergencia para solucionar un problema que causaba que el cliente de correo electrónico clásico de Outlook se congelara o dejara de responder.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft corrige vulnerabilidad de día cero en Office

AXCESS

Enero 26, 2026, 05:06:43 PM