Microsoft heeft een noodpatch uitgerold voor een actief aangevallen kwetsbaarheid in Office waardoor aanvallers beveiligingsfuncties lokaal kunnen omzeilen, wat in het ergste geval tot het uitvoeren van kwaadaardige code kan leiden. Om misbruik van het beveiligingslek (CVE-2026-21509) te maken moet een aanvaller het doelwit een speciaal geprepareerd Office-document laten openen.

Via de kwetsbaarheid is het mogelijk om Object Linking and Embedding (OLE) mitigaties te omzeilen. Office biedt de mogelijkheid om objecten in documenten te embedden. Om te voorkomen dat aanvallers hier misbruik van maken door malafide objecten aan documenten toe te voegen heeft Microsoft verschillende beschermingsmaatregelen toegevoegd. Deze maatregelen zijn via CVE-2026-21509 te omzeilen. Verdere details over de kwetsbaarheid of aanvallen zijn niet door Microsoft gegeven.

Het techbedrijf ontdekte zelf dat de kwetsbaarheid werd misbruikt. Er zijn nu beveiligingsupdates uitgebracht om het probleem te verhelpen. Gebruikers van Office 2016 en 2019 moeten de patch installeren om beschermd te zijn. Gebruikers van Office 2021 en later zijn automatisch beschermd via een service-side aanpassing, maar hiervoor moeten deze gebruikers wel hun Office-applicatie opnieuw starten. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 7.8.