Microsoft corrige une faille zero day dans Office

L'éditeur a alerté sur une vulnérabilité critique dans Office activement exploitée. Microsoft a publié un correctif pour plusieurs versions de la suite bureautique à appliquer rapidement.

Les administrateurs systèmes et les équipes de sécurité ont reçu un message de Microsoft concernant une faille de type zero day touchant Office. Elle contourne les mesures de sécurité de la suite bureautique simplement par l’ouverture d’un document. « Cette vulnérabilité est grave » a déclaré Johannes Ullrich, directeur de la recherche au SANS Institute. Il précise, « elle est due au fait que Microsoft Office prend encore en charge l'ancien format de document OLE, qui donne accès à divers composants OLE ». Le responsable ajoute que « l’effet est similaire à ce qu'un attaquant pourrait faire avec les macros Office. Or, les macros Office sont généralement bloquées pour les documents téléchargés depuis Internet. Microsoft a mis en place des protections similaires pour les composants OLE, mais cette récente exploitation a trouvé un moyen de les contourner. »

Malgré les efforts de Microsoft et des fournisseurs de passerelles de messagerie, les courriels contenant des pièces jointes malveillantes restent un vecteur d'attaque important, observe Johannes Ulrich. Il est crucial que les entreprises déploient rapidement cette mise à jour. En attendant son application, les filtres sur les passerelles de messagerie ou les signatures de protection des terminaux peuvent contribuer à atténuer la menace.

Une correction manuelle pour Office 2016 et 2019

Heureusement, la vulnérabilité CVE-2026-21509, qui présente un score CVSS de 7,8, est corrigée automatiquement dans Office 2021 et versions ultérieures. Cependant, les administrateurs doivent noter que ces applications nécessitent un redémarrage pour que le correctif soit effectif. Un patch distinct est disponible pour Office 2016 et Office 2019 (versions dont le support s'est officiellement arrêté en octobre 2025). Jack Bicer, directeur de la recherche sur les vulnérabilités chez Action1, a déclaré que pour les équipes de sécurité et les RSSI, « l’urgence est réelle : n’attendez pas, déployez cette mise à jour en priorité et assurez-vous que toutes les applications Office soient redémarrées afin que les protections soient effectives sans délai.»

Sollicité pour un commentaire, un porte-parole de Microsoft a déclaré que l'entreprise recommande aux clients concernés de suivre les instructions disponibles sur sa page CVE. Il a également souligné que Defender intègre des mécanismes de détection pour bloquer l'exploitation de cette faille et que le mode d'affichage protégé par défaut d'Office offre une protection supplémentaire en bloquant les fichiers malveillants provenant d'Internet.