Microsoft brengt noodpatch uit voor actief misbruikt Office-lek
Microsoft heeft een spoedupdate (Out-of-Band) uitgebracht voor een kritiek 'zero-day'-lek in Microsoft Office. De kwetsbaarheid, geregistreerd als CVE-2026-21509, wordt op dit moment actief door cybercriminelen misbruikt in de praktijk.
Het lek stelt aanvallers in staat om beveiligingsfuncties te omzeilen die normaal gesproken voorkomen dat onveilige, verouderde componenten (zoals COM en OLE) worden uitgevoerd. Hoewel de 'voorbeeldweergave' van Office niet direct kwetsbaar is, volstaat het openen van een kwaadaardig bestand om een systeem te compromitteren.
Oudere versies nog onveiligÂ
De kwetsbaarheid treft vrijwel alle recente Office-versies. Voor Microsoft 365-gebruikers is er direct een patch beschikbaar, maar gebruikers van Office 2016 en 2019 blijven voorlopig onbeschermd. Microsoft laat weten dat de fixes voor deze versies nog niet klaar zijn. Als tijdelijke oplossing raadt de techreus IT-beheerders aan om handmatige wijzigingen in het Windows-register door te voeren.
De Amerikaanse veiligheidsdienst CISA heeft het lek inmiddels toegevoegd aan de lijst met bekende kwetsbaarheden en adviseert organisaties om beschikbare updates direct te installeren. Het is de tweede keer in korte tijd dat Microsoft moet ingrijpen vanwege actieve aanvallen, wat zorgt voor een onrustige start van het beveiligingsjaar 2026.
Meer over Security
Over Witold Kepinski
