Microsoft heeft noodupdates uitgebracht voor een ernstig beveiligingslek in verschillende versies van Microsoft Office. Het gaat om een zogenoemde zero-daykwetsbaarheid met de aanduiding CVE-2026-21509, die door Microsoft is geclassificeerd als een hoog risico. Gebruikers worden aangeraden de updates zo snel mogelijk te installeren.

Volgens het beveiligingsadvies treft de kwetsbaarheid een breed scala aan Office-versies, waaronder Office 2016, Office 2019, Office 2021 LTSC en Office 2024 LTSC. Het lek kan misbruikt worden om bestaande beveiligingsmechanismen te omzeilen, wat de deur openzet voor verdere aanvallen op het systeem.

Misbruik via COM- en OLE-componenten

Microsoft benadrukt dat het probleem serieus genomen moet worden, ook al zijn er voorlopig weinig technische details bekendgemaakt over de exacte aanvalsmethode of de concrete gevolgen voor getroffen systemen.

Wat wel bekend is, is dat aanvallers via dit lek controle kunnen krijgen over zogeheten COM- en OLE-componenten. Die technologieën worden in Windows gebruikt om verschillende applicaties met elkaar te laten communiceren. Door die interactie over te nemen, kunnen kwaadwillenden mogelijk verder doordringen in het systeem of andere beveiligingsmaatregelen omzeilen. Hoewel Microsoft geen voorbeelden geeft van actieve aanvallen, volstaat de ernst van het lek om onmiddellijke actie aan te raden.

Updates komen automatisch (of handmatig)

Wie een recente Office-versie gebruikt, zoals Office 2021 LTSC of nieuwer, ontvangt de beveiligingsupdate automatisch via Windows Update. Het volstaat in dat geval meestal om de Office-apps opnieuw te starten. Na installatie zou Office draaien op buildnummer 16.0.10417.20095. Voor oudere Office-versies ligt dat anders. Gebruikers van Office 2016 en 2019 moeten de update handmatig downloaden via de Microsoft Update Catalog en zelf installeren. Zonder die stap blijft het systeem kwetsbaar.

In situaties waarin updaten niet meteen mogelijk is, biedt Microsoft nog een tijdelijke work-around aan. Die vereist wel technische kennis en bestaat uit het aanpassen van het Windows-register. De instructies daarvoor zijn terug te vinden in de sectie Mitigations van het officiële beveiligingsadvies. Microsoft benadrukt dat deze oplossing enkel bedoeld is als noodmaatregel en geen vervanging vormt voor het installeren van de update.

Met deze noodpatch onderstreept Microsoft opnieuw hoe belangrijk het is om Office-installaties actueel te houden, zeker bij zero-daylekken die actief misbruikt zouden kunnen worden. Wie Office gebruikt in een professionele omgeving of op systemen met gevoelige gegevens, doet er goed aan de update zo snel mogelijk toe te passen.