Microsoft resmi merilis pembaruan keamanan darurat (out-of-band) untuk menutup sebuah kerentanan zero-day Microsoft Office yang telah aktif dieksploitasi di dunia nyata. Celah keamanan ini dilacak sebagai CVE-2026-21509 dan dikategorikan high severity karena memungkinkan penyerang melewati fitur perlindungan keamanan Office.
Produk Microsoft Office yang terdampak
Kerentanan CVE-2026-21509 memengaruhi berbagai versi Office, antara lain:
- Microsoft Office 2016
- Microsoft Office 2019
- Microsoft Office LTSC 2021
- Microsoft Office LTSC 2024
- Microsoft 365 Apps for Enterprise
Namun, Microsoft mengonfirmasi bahwa patch untuk Office 2016 dan Office 2019 belum tersedia dan akan dirilis menyusul secepat mungkin.
Cara kerja kerentanan
Microsoft menjelaskan bahwa celah ini merupakan security feature bypass akibat penggunaan input yang tidak tepercaya dalam pengambilan keputusan keamanan. Penyerang hanya perlu:
- Mengirimkan file Office berbahaya kepada korban
- Membujuk korban untuk membuka file tersebut
Walaupun Preview Pane tidak menjadi vektor serangan, eksploitasi tetap memungkinkan melalui interaksi pengguna. Celah ini secara spesifik melewati mitigasi OLE (Object Linking and Embedding) yang seharusnya melindungi Office dari kontrol COM/OLE berbahaya.
Perlindungan otomatis untuk Office versi baru
Microsoft menyatakan bahwa:
- Office 2021 ke atas telah dilindungi melalui perubahan sisi layanan (service-side change)
- Pengguna hanya perlu me-restart aplikasi Office agar perlindungan aktif sepenuhnya
Mitigasi sementara untuk Office 2016 & 2019
Karena patch belum tersedia, Microsoft menyediakan langkah mitigasi berbasis Windows Registry untuk mengurangi risiko eksploitasi. Intinya, administrator perlu:
- Membuat atau memastikan keberadaan key COM Compatibility
- Menambahkan CLSID tertentu
- Mengatur nilai Compatibility Flags ke
0x400
Setelah pengaturan ini diterapkan, mitigasi akan aktif saat Office dijalankan kembali. Meski begitu, Microsoft menegaskan bahwa langkah ini bukan pengganti patch resmi.
Status eksploitasi & transparansi
Microsoft belum mengungkap:
- Siapa penemu kerentanan
- Detail teknis eksploitasi yang digunakan penyerang
Namun, perusahaan menegaskan bahwa CVE-2026-21509 telah digunakan dalam serangan aktif, sehingga pembaruan ini sangat penting, terutama untuk lingkungan enterprise.
Konteks keamanan terbaru Microsoft
Sebagai bagian dari Patch Tuesday Januari 2026, Microsoft sebelumnya telah menambal 114 kerentanan, termasuk:
- 1 zero-day yang aktif dieksploitasi
- 2 zero-day yang sudah dipublikasikan
Microsoft juga beberapa kali merilis update darurat bulan ini untuk memperbaiki:
- Bug Outlook yang menyebabkan aplikasi freeze
- Masalah shutdown Windows
- Gangguan Cloud PC pasca update Januari