/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/01/patch-emergenza-office.jpg "Zero-day in Office e patch d’emergenza: nel 2026 Microsoft deve ancora bloccare ActiveX")
Microsoft ha pubblicato un bollettino di sicurezza straordinario (out-of-band) per correggere una vulnerabilità zero-day ad alta gravità che interessa la suite Office e che risulta già sfruttata in attacchi reali. La falla, identificata come CVE-2026-21509, consente l’aggiramento di specifiche funzionalità di sicurezza legate ai meccanismi OLE/COM, con un impatto potenzialmente significativo in contesti aziendali e professionali dove Office è ampiamente diffuso.
La vulnerabilità colpisce diverse versioni del prodotto, tra cui Microsoft Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 e Microsoft 365 Apps for Enterprise. Redmond ha precisato che, al momento, gli aggiornamenti correttivi non sono ancora disponibili per Office 2016 e Office 2019, ma saranno rilasciati appena possibile.
Nel frattempo, in attesa di una patch vera e propria, alcune versioni più recenti di Office possono essere poste in sicurezza effettuando un intervento sulla configurazione del sistema.
Natura tecnica della vulnerabilità scoperta in Microsoft Office
Dal punto di vista tecnico, CVE-2026-21509 rientra nella categoria delle security feature bypass, ovvero vulnerabilità che non portano necessariamente all’esecuzione di codice arbitrario, ma consentono di eludere meccanismi di difesa progettati per proteggere l’utente.
In questo caso, la vulnerabilità nasce dal modo con cui Office prende decisioni di sicurezza basandosi su dati che non dovrebbero essere considerati affidabili. Per capire il problema è necessario chiarire cosa siano OLE e COM.
COM (Component Object Model) è una tecnologia storica di Microsoft che permette a diverse applicazioni e componenti software di comunicare tra loro e condividere funzionalità. OLE (Object Linking and Embedding) è una sua estensione, ampiamente utilizzata in Office, che consente per esempio di incorporare oggetti esterni all’interno di un documento Word o Excel, come fogli di calcolo, grafici o controlli software.
Proprio perché questi meccanismi permettono a un documento di interagire con componenti di sistema, nel tempo sono diventati un vettore di attacco privilegiato. Per questo Microsoft ha introdotto delle mitigazioni di sicurezza OLE, che limitano o bloccano automaticamente l’esecuzione di determinati controlli COM considerati vulnerabili o non sicuri, soprattutto quando il file proviene da Internet o da fonti non attendibili.
La vulnerabilità CVE-2026-21509 consente di aggirare queste accortezze. In pratica, un file Office appositamente costruito può indurre l’applicazione a “fidarsi” di informazioni che non dovrebbero essere ritenute attendibili, portando Office a consentire l’uso di un controllo COM che normalmente verrebbe bloccato. Il risultato non è l’esecuzione automatica di codice senza interazione, ma la rimozione di una barriera di sicurezza fondamentale, che rende possibili attacchi successivi o l’abuso di componenti noti per essere rischiosi.
Implicazioni operative e rischio reale
Il fatto che la vulnerabilità sia già sfruttata attivamente rende la situazione particolarmente delicata. Anche se l’attacco richiede un’azione esplicita da parte dell’utente, il requisito non riduce in modo significativo il rischio, soprattutto in contesti aziendali dove campagne di phishing mirate e documenti Office condivisi via email rappresentano un vettore estremamente comune.
Microsoft ha sottolineato che Defender dispone già di firme e meccanismi di rilevamento in grado di bloccare tentativi di sfruttamento noti, mentre l’impostazione predefinita di Visualizzazione protetta fornisce un ulteriore livello di difesa impedendo l’apertura diretta di file provenienti da Internet.
Tuttavia, come spesso accade, l’efficacia di queste misure dipende dal comportamento dell’utente, in particolare dalla scelta di abilitare o meno la modifica dei documenti ricevuti da fonti non affidabili.
Microsoft ha chiarito che il pannello di anteprima di Esplora file non rappresenta un vettore di attacco diretto. Tuttavia, lo sfruttamento resta possibile tramite attacchi a bassa complessità che richiedono l’interazione dell’utente. In pratica, l’aggressore deve convincere la vittima ad aprire un file Office appositamente predisposto. Una volta aperto, il documento può eludere alcune protezioni normalmente attive, aprendo la strada a ulteriori fasi dell’attacco.
Mitigazioni temporanee per Office 2016 e Office 2019
In assenza di una patch ufficiale immediatamente disponibile per Office 2016 e Office 2019, Microsoft ha indicato un intervento manuale che agisce direttamente sul meccanismo COM Compatibility, utilizzato da Office per decidere se un determinato controllo COM/OLE possa essere caricato ed eseguito.
Office mantiene infatti una serie di flag di compatibilità nel Registro di sistema di Windows, associati a specifici Class ID (CLSID). Questi identificatori univoci rappresentano singoli componenti COM. Quando un documento tenta di istanziare un controllo COM, Office consulta queste chiavi di registro per stabilire se il componente è consentito, limitato o completamente bloccato.
La mitigazione fornita da Microsoft consiste nel forzare l’applicazione di restrizioni di sicurezza su uno specifico controllo COM, identificato dal CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}.
Questo CLSID è associato a un componente legacy OLE che, in condizioni normali, può essere richiamato da un documento Office. A causa della vulnerabilità CVE-2026-21509, le normali protezioni che dovrebbero impedirne l’uso in contesti non affidabili possono essere aggirate.
Interventi concreti per mettere in sicurezza Office
Nel bollettino appena pubblicato, Microsoft suggerisce di creare una struttura di registro, scegliendo il percorso corretto in base all’architettura e al tipo di installazione (MSI o Click-to-Run). Di seguito proponiamo in comandi che fanno uso di reg.exe. Possono essere utilizzati, solo dagli utenti di Office 2016 e Office 2019, dal prompt dei comandi aperto con i diritti di amministratore (digitare cmd nella casella di ricerca di Windows e scegliere Esegui come amministratore).
Il flag 0x400 indica a Office che il controllo COM indicato non deve essere inizializzato in scenari non sicuri, ripristinando di fatto una protezione che la vulnerabilità consente di bypassare.
Office 2016 o Office 2019 a 64 bit (o 32 bit su Windows 32 bit):
reg add "HKLM\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}" /v "Compatibility Flags" /t REG_DWORD /d 0x400 /f
Office 32 bit su Windows 64 bit:
reg add "HKLM\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}" /v "Compatibility Flags" /t REG_DWORD /d 0x400 /f
Office Click-to-Run 64 bit (o 32 bit su Windows 32 bit):
reg add "HKLM\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}" /v "Compatibility Flags" /t REG_DWORD /d 0x400 /f
Office Click-to-Run 32 bit su Windows 64 bit
reg add "HKLM\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}" /v "Compatibility Flags" /t REG_DWORD /d 0x400 /f
Da dove salta fuori il controllo COM bloccato da Microsoft?
Dopo qualche breve ricerca, abbiamo potuto accertare che il controllo COM, identificato dal CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}, corrisponde al WebBrowser del vecchio Internet Explorer (MSHTML/IEframe), quello che molte applicazioni Windows hanno usato per anni per “incorporare un browser” dentro una finestra.
Nonostante affondi le radici nel passato, il WebBrowser (conosciuto anche come Microsoft Web Browser Version 1, Shell.Explorer.1, file C:\Windows\System32\ieframe.dll) è un oggetto OLE ancora oggi incorporabile nei documenti Office.
Non solo. L’associazione del controllo COM “incriminato” a gennaio 2026 con Internet Explorer compare anche in un vecchio bollettino Microsoft del 2008 (MS08-073): Microsoft indicava che il valore Compatibility Flags impostato a 0x400 è il classico meccanismo di blocco (“kill bit”) dei controlli ActiveX.
Gli ActiveX nel 2026 e una nota finale
Il fatto che nel 2026 Microsoft sia stata costretta a intervenire per bloccare un controllo ActiveX legato a Internet Explorer, una tecnologia che dovrebbe essere da tempo “morta e sepolta”, rappresenta l’ennesima dimostrazione di quanto la stratificazione storica del software continui a produrre effetti di sicurezza concreti.
Non si tratta più solo di un problema architetturale di Windows, ma di una eredità profonda che coinvolge anche Office, dove componenti legacy degli anni ’90 restano ancora oggi parte della superficie di attacco.
/https://www.ilsoftware.it/app/uploads/2026/01/god0.jpg "Sconti su tutto! Office 2021 Pro a 31,55€, altre suite con sconto del 90%")
/https://www.ilsoftware.it/app/uploads/2026/01/gmail-ai-inbox.jpg "AI Inbox Gmail: cos'è e come cambia la gestione della posta")
/https://www.ilsoftware.it/app/uploads/2026/01/office-microsoft-365-copilot-app.jpg "Addio Office: rinominato in Microsoft 365 Copilot app")
/https://www.ilsoftware.it/app/uploads/2025/12/offerta-licenze-microsoft-windows-11-pro-office-2019-pro-plus.jpg "Windows 11 Pro e Office 2019 Pro Plus: Prezzi Crollati! Licenze originali Microsoft con attivazione immediata")