Microsoft vient de sonner l’alerte sur l’exploitation active d’une faille zero-day dans Office et de proposer des mesures de protection. Selon votre version et votre configuration, il faudra peut-être mettre la main à la pâte.
Redmond n’a pas attendu le prochain rendez-vous mensuel pour réagir. L’éditeur a confirmé l’exploitation active d’une faille zero-day dans Office (CVE-2026-21509), qui repose sur l’ouverture d’un document piégé et peut conduire à l’exécution de code sur la machine de la victime. Les versions récentes bénéficient déjà d’un correctif déployé côté serveur. En revanche, sur Office 2016 et 2019, il faudra patienter pour la mise à jour de sécurité et, d’ici là, appliquer soi-même les mesures d’atténuation recommandées par Microsoft.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une erreur dans la vérification des composants intégrés d’Office
La vulnérabilité en question touche la manière dont Microsoft Office décide si un composant intégré à un document est autorisé ou non à s’exécuter.
En temps normal, lorsqu’un fichier Word, Excel ou PowerPoint embarque des objets hérités reposant sur COM ou OLE (anciennes technologies Windows qu’Office utilise encore pour intégrer des éléments externes, comme des contrôles ActiveX), la suite bureautique est censée appliquer des vérifications strictes pour empêcher le chargement d’éléments jugés à risque, capables d’exécuter du code arbitraire sur la machine.
Or, le problème, ici, tient au fait qu’Office peut se fier à des informations fournies par le document lui-même pour trancher, comme l’identifiant du composant à charger, son type déclaré et certains attributs internes associés à l’objet, utilisés pour déterminer s’il doit être autorisé ou bloqué. Si un acteur malveillant décide de manipuler ces métadonnées, il peut donc présenter un composant dangereux comme légitime, contourner les protections Office, puis déclencher son chargement à l’ouverture du document vérolé, avec les droits utilisateur de la personne piégée.
Une faille triviale, donc, puisque son exploitation ne requiert ni authentification ni élévation de privilèges, et déjà observée dans des attaques ciblées.
Office 2021 déjà protégé, Office 2016 et 2019 à sécuriser manuellement
Microsoft a d’ores et déjà annoncé avoir pris des mesures pour Office 20212 et versions ultérieures, confirmant qu’un patch avait été déployé côté serveur. Il faudra simplement redémarrer ses applications Office pour appliquer l’appliquer.
Sur Office 2016 et 2019, le correctif de sécurité n’est pas encore disponible. En attendant sa diffusion via Windows Update, Microsoft recommande d’appliquer une modification du Registre pour bloquer le composant concerné.
Avant de procéder, prudence. Toute modification du Registre Windows comporte des risques en cas d’erreur. Il est vivement conseillé de sauvegarder le Registre ou, à minima, de disposer d’un point de restauration fonctionnel.
La première étape consiste à fermer toutes les applications Office, puis à ouvrir l’Éditeur du Registre en tapant regedit dans le menu Démarrer ou la barre de recherche.
Il faut ensuite localiser la clé correspondant à votre configuration.
Pour Office MSI 64-bits, ou Office MSI 32-bits sur Windows 32-bits :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\
Pour Office MSI 32-bits sur Windows 64-bits :
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\
Pour Office Click-to-Run 64-bits, ou Office Click-to-Run 32-bits sur Windows 32-bits :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\
Pour Office Click-to-Run 32-bits sur Windows 64-bits :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\
Si le dossier COM Compatibility n’existe pas, il doit être créé manuellement sous Common (Ajouter clé).
Dans ce dossier, il faut créer une nouvelle sous-clé nommée {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}
À l’intérieur de cette sous-clé, créez une valeur DWORD (32 bits) nommée Compatibility Flags, laissez l’option Hexadécimal cochée, puis saisissez 400 dans le champ Données de la valeur.
Une fois la modification effectuée, fermez l’Éditeur du Registre et relancez vos applications Office.
Source : Microsoft
