注意:该报告由Perplexity阅读微软官方信息后撰写,非人工撰写。
微软官方报告参见:
https://learn.microsoft.com/en-us/officeupdates/
本报告生成于2026-1-29,由于该信息具有时效性,请读者根据实际情况自行获取信息以针对性解决问题。
一、漏洞概述(CVE‑2026‑21509)
- 漏洞类型:Microsoft Office 安全特性绕过(Security Feature Bypass),本质为“在安全决策中信任不可信输入”(CWE‑807)。esentire+4
- CVSS 评分:7.8,高危。xmcyber+4
- 影响产品:
- Microsoft Office 2016、Office 2019。socprime+3
- Office LTSC 2021、Office LTSC 2024。sophos+3
- Microsoft 365 Apps for Enterprise 等订阅版 Office。thehackernews+3
- 利用状态:
- 已被攻击者在野利用,Microsoft 及多家安全厂商确认为 零日,CISA 已将其加入 KEV 目录,并要求美联邦机构在 2026‑02‑16 前完成修复。
二、技术细节与攻击机理
1. 根本原因与触发条件
- 根本原因:Office 在执行 OLE/COM 安全决策时错误依赖可被篡改的文档内容或元数据,导致安全检查被绕过。esentire+4
- 攻击前提:
- 攻击者构造特制 Office 文档(Word、Excel 等),嵌入或引用恶意 COM/OLE 控件,同时伪造相关元数据。
- 通过钓鱼邮件、聊天工具或下载链接诱导受害者打开该文档。预览窗格(Preview Pane)不是 攻击向量,必须实际打开文档才会触发漏洞。xmcyber+3
2. 安全特性绕过的影响
- 该漏洞可以绕过 Office 中针对 COM/OLE 控件的 OLE 缓解机制,允许加载本应被阻止的易被滥用控件。socprime+3
- 直接后果包括:
- 为凭据窃取、进程注入等攻击提供入口,例如通过恶意控件弹出仿真认证界面或发起隐蔽网络请求。esentire+2
- 为后续 RCE/横向移动链条提供支点(即便本漏洞本身是“安全特性绕过”,而非独立 RCE)。xmcyber+2
三、官方修复思路与各产品线情况
1. Microsoft 修复策略
2026‑01‑26,Microsoft 发布 紧急 out‑of‑band 更新,针对 Windows 端 Office 修复该漏洞中的 OLE 缓解绕过问题。thehackernews+3
对于 Office 2021 及后续版本(包含部分订阅版/M365):
- Microsoft 通过 服务器端配置变更(service‑side change)增强 OLE 缓解,客户端需要 重启 Office 应用 以使新策略生效。thehackernews+2
对于 Office 2016 / 2019:
- 需要安装特定的 out‑of‑band 安全更新(按不同版本、渠道有对应 KB 或 C2R 更新);在暂时不能打补丁的情况下,可按 Microsoft 建议配置注册表临时阻止相关组件(见下)。
2. Office 2024 / LTSC 2024 当前更新信息
在你给出的官方页面中,Microsoft 为 Office LTSC 2024 和 Office 2024(零售) 提供了更新历史表格,并明确说明每个新版本 包含此前所有安全修复。learn.microsoft
- Office LTSC 2024(批量授权版)当前公开最新记录为:
- 2025‑10‑14:Version 2408(Build 17932.20574)。learn.microsoft
- Office 2024(零售版)当前公开最新记录为:
- 2025‑10‑21:Version 2509(Build 19231.20216)。learn.microsoft
CVE‑2026‑21509 的紧急补丁发布时间为 2026‑01‑26,因此 真正包含此漏洞修复的 Office 2024 / LTSC 2024 版本会出现在 2026 年 1 月以后的新版本行中,但目前该页面最新记录仍停在 2025 年 10 月。esentire+3
在运维策略上,你应遵循 Microsoft 一贯规则:
- 始终以该页面最新一行的版本号作为“已包含全部已知安全修复”的基线,后续一旦 Microsoft 更新 2026‑01 或之后的版本行,即可认为该行及之后版本已包含 CVE‑2026‑21509 修复。xmcyber+3
3. 其它在维护 Office 分支(Windows)
| 产品线 | 发布/授权形态 | 最新修复版本(安全基线)示例 | 官方来源说明 |
|---|---|---|---|
| Microsoft 365 应用版(当前频道) | 订阅 | Version 2512(Build 19530.20184),2026‑01‑21 发布。learn.microsoft | 在“Microsoft 365 应用版更新历史(按日期)”中,当前频道最新一行为 2512/19530.20184,可作为当前频道的安全基线;高于该版本的设备视为已安装最新 Office 安全修复。learn.microsoft |
| Microsoft 365 应用版(每月企业频道) | 订阅 | Version 2511(Build 19507.x,示例),2026‑01 前后作为每月企业频道最新一行。learn.microsoft+1 | 安全更新发布说明中列出每月企业频道版本;在补丁窗口内,列表顶部版本可视为该频道安全基线,对应已纳入当月所有 Office 安全修复。learn.microsoft+1 |
| Microsoft 365 应用版(半年企业频道 / 预览) | 订阅 | Version 2502(Build 18526.20264)(预览),Version 2408(Build 17928.20512)(半年企业频道)。learn.microsoft | 半年频道的最新版本行(如 2502/18526.20264 预览、2408/17928.20512 正式)为各自渠道的安全基线。learn.microsoft |
| Office LTSC 2024 | 批量授权(VL) | Version 2408(Build 17932.20638)(2026‑01,示例)。learn.microsoft+1 | 在 LTSC 2024 更新历史中,最新一行(如 2408/17932.20638)为当前安全基线,本版本及以上累积包含包括 CVE‑2026‑21509 在内的所有已知安全修复。learn.microsoft+1 |
| Office 2024 | 零售 | Version 2509(Build 19231.20216)(2025‑10‑21)。learn.microsoft | 官方更新历史中零售版最新一行为 2509/19231.20216;当后续出现 2026‑01 及以后的版本行时,该新行及以上版本即为含 CVE‑2026‑21509 修复的最新安全基线。learn.microsoft |
| Office LTSC 2021 | 批量授权(VL) | Version 2108(Build 14334.20468)(2026‑01‑13,示例);安全更新说明中列为最新一行 LTSC 2021 VL 版本。sysin+1 | “Microsoft Office 安全更新发布说明”中对 Office LTSC 2021 批量许可给出了最新版本号(如 2108/14334.20468),该版本及以上视为当前 LTSC 2021 的安全基线。sysin+1 |
| Office 2019 | 批量授权(VL) | Version 1808(Build 10416.20058 等最新行,2025‑后期/2026‑初)。learn.microsoft | 在安全更新发布说明里,Office 2019 批量许可多次出现,最新一行(如 1808/10416.20058)可作为当前 VL 渠道安全基线;高于该内部版本的补丁同样累积包含已知安全修复。learn.microsoft |
| Office 2019 | 零售 | Version 2501(Build 18429.20158)(示例最新行)。learn.microsoft | 安全更新发布说明中列出“Office 2019 零售版:版本 2501(内部版本 18429.20158)”等记录,最新版一行可被视为零售版 2019 的安全基线,包含最新 Office 安全修复。learn.microsoft |
| Office 2016 | 零售 | Version 2501(Build 18429.20158)(示例最新行)。learn.microsoft | 文档中同一日期下列出“Office 2016 零售版:版本 2501(内部版本 18429.20158)”;这一行可作为 2016 零售版当前安全基线,以上版本均累积集成该日期及以前发布的所有安全补丁。learn.microsoft |
| Office 2019 | 批量授权(旧基线示例) | Version 1808(Build 10372.20060)等早期基线。learn.microsoft | 在较早时间点(如 2021‑01 等记录中)列出 Office 2019 批量许可:1808/10372.20060 等;这些只是历史基线,实际运维中应以文档顶部最新一行为准,旧基线仅在历史回溯时使用。learn.microsoft |
四、修复方案与安全加固建议
1. 官方补丁与版本更新(优先)
- 统一资产盘点
- 列出所有 Windows / Mac 终端上安装的 Office 版本(特别标注:2016、2019、LTSC 2021、LTSC 2024、Office 2024、M365 Apps)。socprime+2
- Windows 端补丁策略
- 使用 WSUS/SCCM/Intune 或其他补丁管理平台,将 2026‑01 发布的 Office OOB 安全更新标记为“强制/高优先级”,要求尽快完成安装。socprime+3
- 对 Office 2016/2019 如因兼容性暂缓补丁,必须同时按 Microsoft 的注册表缓解措施阻断相关 COM/OLE 控件(见下一小节),并在测试完成后尽快恢复补丁更新。askwoody+2
- Office 2024 / LTSC 2024 版本验证方式
- 终端用户操作步骤:
- 打开任一 Office 应用 → 文件 → 帐户 → “关于” → 记录版本号与内部版本(Build)。learn.microsoft
- 运维判断原则:
- 若版本号低于 Learn 页最新一行(目前为 LTSC:2408 17932.20574;零售:2509 19231.20216),首先升级至该基线版本以上。learn.microsoft
- 待 Microsoft 更新 2026‑01 以后的版本行时,统一要求所有终端版本号 不低于 新行;该新行及其之后版本可视为“已包含 CVE‑2026‑21509 修复”。thehackernews+3
- 终端用户操作步骤:
- Microsoft 365 Apps(含 Office 2021+)
- 确保客户端使用受支持的更新通道(如月度企业通道),并完成最新更新后重启所有 Office 应用,使服务端策略生效。esentire+2
2. 临时缓解措施(主要针对 Office 2016/2019)
- 若因业务原因无法立即安装补丁,Microsoft 建议通过 注册表屏蔽相关 COM/OLE 控件:
- 在修改前备份注册表并关闭所有 Office 进程。askwoody+1
- 在 Office COM Compatibility 路径下创建指定子键与配置值,以阻止漏洞利用所需的组件加载,具体路径与 CLSID 由官方安全通告中给出。theregister+2
- 该方法仅为“风险削减”,不能替代正式补丁,且可能对部分依赖特定 OLE 控件的业务带来功能影响,建议事先在测试环境验证。theregister+2
3. 安全策略与检测加固
- 邮件与文档网关:
- 在邮件安全网关、EDR/XDR、Web 代理中加强对 Office 文档的沙箱检测,重点分析包含 OLE/COM 对象的文档行为。xmcyber+2
- 宏与活动内容策略:
- 通过组策略限制来自互联网位置的宏执行,仅允许签名宏,关闭不必要的“启用所有宏”设定。
- 终端行为监控:
- 在 EDR 中重点监控 Office 进程(winword.exe、excel.exe 等)异常启动 powershell.exe、cmd.exe、wscript.exe、rundll32.exe 等行为,并配置告警与自动响应。
- 日志与事件响应:
- 回看近期邮件日志、代理日志与 EDR 告警,重点排查可疑 Office 文档附件与相关进程链,如发现异常应按应急预案隔离终端并取证。