cve-2026-21509 - RunkIntel

# CVE-2026-21509 - Microsoft Office Zero-Day (APT28 / Operation Neusploit) > [!high] CVSS: 7.8 (Alto) · Vendor: Microsoft · CISA KEV: Sim (2026-01-26) · Prazo: 2026-02-16 · Explorado por APT28 como zero-day · EPSS: 6,58% (percentil 91) ## Visão Geral CVE-2026-21509 é uma vulnerabilidade zero-day no **[[Microsoft Office]]** que permite execução remota de código (RCE) quando um usuário abre um arquivo Office malicioso. A falha foi explorada pelo [[g0007-apt28|APT28]] - grupo de espionagem ligado ao GRU (inteligência militar russa) - em operações direcionadas à Ucrânia e ao Leste Europeu antes da divulgação pública e da disponibilidade de qualquer patch. A Microsoft públicou correção emergêncial fora do ciclo regular de Patch Tuesday em 26 de janeiro de 2026, sinalizando o nível de risco considerado crítico pela empresa. A exploração ocorre por meio de documentos Office maliciosos entregues via spear-phishing. Ao abrir o arquivo, a vulnerabilidade é acionada localmente sem necessidade de elevação de privilégio, executando código arbitrário no contexto do usuário-alvo. Segundo análises da Palo Alto Unit 42 e Picus Security, a campanha identificada como [[Operation Neusploit]] utilizou esta CVE com foco em espionagem estratégica - acesso a comúnicações diplomáticas, dados militares e infraestrutura crítica. A CISA adicionou a vulnerabilidade ao KEV no mesmo dia do patch, com prazo obrigatório de remediação de 21 dias para agências federais americanas. Embora os ataques confirmados tenham foco no Leste Europeu, o APT28 mantém operações de amplo alcance geográfico. Organizações governamentais e de defesa com vínculos com parceiros da OTAN, incluindo o Brasil, devem tratar esta CVE como alta prioridade operacional. O histórico do grupo inclui campanhas contra a América do Sul em contextos eleitorais e diplomáticos. > [!latam] Impacto no Brasil e LATAM > O APT28 tem histórico documentado de expansão de operações além do Leste Europeu, incluindo alvos na América Latina com interesse em processos eleitorais, comúnicações diplomáticas e organizações de defesa. Setores governamentais brasileiros com relacionamento com parceiros da OTAN e organizações vinculadas ao Ministério das Relações Exteriores devem priorizar o patch desta CVE. O Microsoft 365 é amplamente adotado no governo federal e estadual no Brasil, tornando a superfície de ataque potencialmente significativa. Qualquer uso de documentos Office recebidos por email de remetentes externos deve ser tratado com cautela máxima. ## Produtos Afetados | Produto | Versões Afetadas | Versão Corrigida | |---------|-----------------|-----------------| | Microsoft Office 2016 | Todas as edições | Atualização jan/2026 | | Microsoft Office 2019 | Todas as edições | Atualização jan/2026 | | Microsoft Office LTSC 2021 | Todas as edições | Atualização jan/2026 | | Microsoft Office LTSC 2024 | Todas as edições | Atualização jan/2026 | | Microsoft 365 Apps for Enterprise | Todas as versões | Canal atual/mensal jan/2026 | ## Exploração A exploração de CVE-2026-21509 foi documentada pela Palo Alto Unit 42 e pela Picus Security em campanhas identificadas como **[[Operation Neusploit]]**, conduzidas pelo **[[g0007-apt28|APT28]]** com foco em espionagem contra alvos ucranianos e do Leste Europeu. **Vetor de ataque:** - Entrega via documento Office malicioso (e-mail de spear-phishing) - Quando o arquivo é aberto pelo usuário-alvo, a vulnerabilidade é acionada localmente - Não requer elevação de privilégio - executa no contexto do usuário atual **Características do exploit:** - Ataques altamente direcionados (targeted/espionagem) - não exploração massiva oportunística - Sem PoC público disponível - Pacotes Office maliciosos entregues via e-mail de phishing direcionado ## Impacto - **Execução de código no contexto do usuário:** o código do atacante roda com os privilégios do usuário que abriu o documento - **Acesso a dados locais:** arquivos, credenciais salvas, histórico de navegação - **Instalação de implantes:** o APT28 utilizou a vulnerabilidade para instalar backdoors e ferramentas de espionagem nos sistemas-alvo - **Escalada de privilégios possível:** em combinação com outras vulnerabilidades de privesc do Windows ## Mitigação **Patches disponíveis:** - Atualização de emergência out-of-band: **26 de janeiro de 2026** - Para instalações via Microsoft Update: aplicar todas as atualizações disponíveis de janeiro/fevereiro 2026 - Para Microsoft 365 Apps: atualização automática via canal atual ou mensal **Verificar se está protegido:** - Confirmar que o Office está na versão patcheada via `Arquivo > Conta > Sobre [Produto]` **Mitigações adicionais:** - Habilitar **Protected View** para todos os documentos de origem externa - Implementar política de **Disable Macros** via Group Policy - Treinar usuários para não abrir documentos Office de remetentes desconhecidos - Monitorar execuções suspeitas de processos filhos a partir de WINWORD.EXE, EXCEL.EXE, POWERPNT.EXE ## Referências - [Microsoft MSRC - CVE-2026-21509](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509) - [CISA KEV - Adição 2026-01-26](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Palo Alto Unit 42 - Operation Neusploit Analysis](https://unit42.paloaltonetworks.com) - [Picus Security - APT28 Campaign Research](https://www.picussecurity.com/resource/blog) ## Notas Relacionadas **Ator explorando:** [[g0007-apt28|APT28]] **Campanha relacionada:** [[Operation Neusploit]] **CVE relacionada (mesmo ator):** [[cve-2026-21513|CVE-2026-21513]] - MSHTML zero-day pelo APT28 **TTPs relacionadas:** [[t1566-phishing|T1566 - Phishing]] · [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] **Setores em risco:** [[government]] · [[defense]] · [[critical-infrastructure]]