1. Alertas de Seguridad
  2. Vulnerabilidad - CVE-2026-21509 Bypass de Seguridad en Microsoft Office con Explotación Activa

Vulnerabilidad - CVE-2026-21509 Bypass de Seguridad en Microsoft Office con Explotación Activa

Fecha de publicación: Mié, 11/02/2026 - 11:37

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

Se ha identificado una vulnerabilidad de tipo Security Feature Bypass en Microsoft Office. El fallo permite a un atacante evadir las protecciones diseñadas para bloquear componentes heredados (legacy) y scripts inseguros.

El atacante distribuye un documento de Office (.docx, .xlsx) especialmente manipulado. Al ser abierto por el usuario, el archivo engaña al sistema de validación de Office para ejecutar código o cargar librerías que deberían estar bloqueadas por las políticas de seguridad modernas.

  • Vector: Interacción del usuario (Phishing).

  • Impacto: Ejecución remota de código (RCE), compromiso total del endpoint y movimiento lateral en la red.

Recursos afectados

De acuerdo con la información oficial de Microsoft Security Response Center (MSRC), los productos afectados incluyen:

  • Microsoft Office 2016

  • Microsoft Office 2019

  • Microsoft Office LTSC 2021

  • Microsoft Office LTSC 2024

  • Microsoft 365 Apps para empresas

Solución

Aplicar de forma inmediata el parche Out-of-Band distribuido por Microsoft a través de WSUS, Intune o Microsoft Update.

Mitigación

Si el parche no puede aplicarse de inmediato, se debe realizar un endurecimiento del registro de Windows para deshabilitar la carga de objetos vinculados (OLE) y componentes heredados sospechosos:

  • Cambio en Registro: Deshabilitar la ejecución de contenido dinámico mediante el editor de registro.

  • Reglas ASR (Attack Surface Reduction): Habilitar la regla Block all Office applications from creating child processes en modo block.

Indicadores de compromiso

La detección debe centrarse en el comportamiento anómalo de los procesos de Office

  • Relación Padre-Hijo Sospechosa (Event ID 4688): Alertar si aplicaciones de Office inician intérpretes de comandos o herramientas del sistema:

    • winword.exe → cmd.exe / powershell.exe

    • excel.exe → wscript.exe / cscript.exe

    • outlook.exe → rundll32.exe / regsvr32.exe

  • Tráfico de Red: Conexiones salientes iniciadas directamente por procesos de Office hacia IPs públicas desconocidas.

Recomendaciones

  • Aplicar inmediatamente las actualizaciones de Microsoft Office relacionadas con este CVE en todos los equipos de usuario.

  • Reforzar campañas internas de seguridad para evitar la apertura de documentos de origen desconocido.

  • Implementar análisis avanzado de adjuntos y enlaces en plataformas de correo electrónico.

  • Intensificar la vigilancia en soluciones SIEM/XDR sobre ejecuciones anómalas provenientes de aplicaciones de Office.

  • Deshabilitar macros por defecto y bloquear contenido activo proveniente de Internet mediante políticas de grupo.

Referencias