微軟本週釋出緊急更新,修補編號為 CVE-2026-21509 的 Microsoft Office 零時差漏洞,並警告該漏洞已遭濫用。攻擊者需透過誘騙用戶開啟特製惡意檔案來突破安全防護,顯示這可能被用於精準的間諜行動。
調查指出,漏洞源於 Office 在處理不受信任輸入時的驗證缺陷,讓駭客可繞過 Microsoft 365 與 Office 系統中的 OLE 安全機制。由於攻擊鏈條複雜且針對性高,專家認為不太可能用於大規模攻擊。受影響版本包括 Office 2016、2019、LTSC 2021、LTSC 2024 及 Microsoft 365 Apps for Enterprise,目前修補已推出。
CISA 已將其列入已知被濫用漏洞清單,要求美國聯邦機構於 2 月 16 日前完成修補。微軟提醒,除安裝更新外,Microsoft Defender 與 Office 預設預覽窗格亦能提供防護,並呼籲用戶下載不明檔案或啟用編輯時務必保持警覺。
CVE-2026-21509 漏洞概況
漏洞性質:Microsoft Office 在處理不受信任輸入時存在驗證瑕疵,導致攻擊者能繞過 OLE (Object Linking and Embedding) 緩解機制。
攻擊方式:必須誘騙使用者開啟特製的惡意 Office 檔案,並透過多階段攻擊鏈完成入侵。
用途推測:由於攻擊複雜度高,安全專家認為此漏洞更可能用於定向的網路間諜活動或針對高價值目標,而非隨機大規模攻擊。
受影響產品
Office 2016
Office 2019
Office LTSC 2021
Office LTSC 2024
Microsoft 365 Apps for Enterprise
企業防護檢查清單:CVE-2026-21509
1. 更新與修補
- 已安裝微軟釋出的最新安全更新 (Office 2016、2019、LTSC 2021、LTSC 2024、Microsoft 365 Apps)。
- 確認所有工作站與伺服器均完成更新。
- 建立更新完成的稽核報告,確保覆蓋率達 100%。
2. 偵測與防護
- 確認 Microsoft Defender 已更新至最新威脅定義。
- 驗證 Defender 能偵測並攔截相關攻擊樣本。
- 檢查 Office 的 預覽窗格功能是否啟用,避免直接執行惡意檔案。
3. 使用者教育
- 通知員工避免開啟來源不明的 Office 檔案。
- 提醒員工在啟用「編輯模式」時保持警覺。
- 強化釣魚郵件防範訓練,模擬攻擊演練。
4. 系統與網路防護
- 啟用郵件閘道的惡意檔案掃描。
- 部署 EDR/XDR 方案,監控可疑行為。
- 設定 SIEM 規則,偵測 OLE/COM 相關異常事件。
5. 法規與合規
- 若屬於美國聯邦政府或承包商,確認已依照 CISA 要求在 2 月 16 日前完成修補。
- 建立內部合規報告,確保符合資安政策。
分層防護策略建議
1. 基礎層:更新與修補
- 確保所有受影響的 Office 版本已安裝最新安全更新。
- 建立自動化補丁管理流程,避免遺漏。
- 定期盤查環境,確認無未修補系統。
2. 偵測層:端點與網路防護
- 啟用 Microsoft Defender 並保持威脅定義最新。
- 部署 EDR/XDR 解決方案,監控可疑行為。
- 在 SIEM 中建立規則,偵測 OLE/COM 相關異常事件。
3. 防禦層:使用者與檔案安全
- 啟用 Office 預覽窗格,降低直接執行惡意檔案的風險。
- 強化郵件閘道與檔案掃描,阻擋釣魚郵件與惡意附件。
- 對員工進行 釣魚演練與安全意識訓練。
4. 隔離層:零信任與存取控制
- 對高風險帳號啟用 多因素驗證 (MFA)。
- 採用 零信任架構,限制不必要的存取權限。
- 對敏感資料與高價值系統採取網段隔離。
5. 回應層:事件管理與合規
- 建立 事件回應計畫,模擬攻擊演練。
- 確保符合 CISA 要求,在期限內完成修補。
- 建立內部合規報告,確保資安政策落實。
微軟釋出緊急更新,修補編號為 CVE-2026-21509 的 Microsoft Office 零時差漏洞