Allerta ACN: vulnerabilità zero-day critica su Microsoft Office – verifica immediata consigliata

L’alert AL03/260127/CSIRT-ITA segnala una vulnerabilità identificata come CVE-2026-21509 (CVSS 7.8 – gravità alta), che consente a un attaccante di bypassare le funzionalità di sicurezza di Office.

In termini pratici: è sufficiente l’apertura di un documento Office malevolo per attivare componenti COM/OLE che dovrebbero essere bloccati, aggirando le protezioni standard del sistema.

Questo tipo di vulnerabilità è particolarmente critico perché non richiede privilegi elevati e sfrutta un vettore molto comune: email e documenti di lavoro.
Versioni coinvolte
La vulnerabilità interessa, tra le altre: Microsoft Office 2016 Microsoft Office 2019 Office LTSC 2021 e 2024 Microsoft 365 Apps for Enterprise
Anche ambienti apparentemente aggiornati potrebbero essere esposti se non correttamente verificati.

Perché è un rischio concreto per le aziende:
Un endpoint Office compromesso può diventare un punto di ingresso per malware o ransomware, un vettore di propagazione laterale in rete e causa di violazioni dei requisiti di sicurezza e conformità (incluso ambito NIS2).

In molti casi, queste vulnerabilità vengono sfruttate prima che le aziende si rendano conto di essere esposte.

Raccomandazione operativa

Microsoft ha rilasciato misure di mitigazione e aggiornamenti, ma: è necessario verificare le build effettivamente in uso, confermare che le protezioni siano realmente attive, assicurarsi che le applicazioni Office siano state riavviate correttamente.