# CVE-2026-21514 - Microsoft Office Zero-Day Explorado por Atores de Estado-Nação > [!critical] CISA KEV - Zero-Day em Exploração Ativa por APTs > Vulnerabilidade zero-day no Microsoft Office explorada ativamente por grupos de espionagem patrocinados por estados antes da disponibilidade do patch. A CISA adicionou ao KEV em 10 de fevereiro de 2026 - um dia antes do Patch Tuesday - com prazo de remediação até 3 de março de 2026 para agências federais americanas. ## Visão Geral A CVE-2026-21514 é uma das seis vulnerabilidades zero-day que a Microsoft corrigiu no Patch Tuesday de fevereiro de 2026 - o maior batch de zero-days do ano até aquela data. A vulnerabilidade reside no processamento de documentos Office especialmente crafted: ao abrir um arquivo malicioso em Word, Excel ou PowerPoint, o código vulnerável é acionado sem qualquer interação adicional do usuário além da abertura do documento. A exploração por atores de estado-nação antes da disponibilidade do patch é o elemento mais preocupante desta vulnerabilidade. Grupos como [[g0007-apt28]] (APT28/Fancy Bear, Rússia) e [[apt29]] (Cozy Bear, SVR russo) têm histórico extenso de exploração de zero-days em produtos Microsoft para campanhas de espionagem contra governos, organizações de defesa e entidades diplomáticas. A confirmação de exploração ativa antes do patch indica que a vulnerabilidade foi provavelmente adquirida ou descoberta por esses grupos meses antes da divulgação pública. O vetor de entrega mais provável são e-mails de spear-phishing com documentos Office maliciosos anexados ou links para download de arquivos hospedados em infraestrutura controlada pelos atacantes. Dado o foco em alvos governamentais e de infraestrutura crítica, organizações com perfil geopolítico elevado devem considerar este zero-day como risco operacional prioritário, mesmo com o patch já disponível. ## Produtos Afetados | Produto | Versões Vulneráveis | Versão Corrigida | |---------|--------------------|--------------------| | Microsoft Word | Office 2019, LTSC 2021, M365 Apps | Patch Tuesday fev 2026 | | Microsoft Excel | Office 2019, LTSC 2021, M365 Apps | Patch Tuesday fev 2026 | | Microsoft PowerPoint | Office 2019, LTSC 2021, M365 Apps | Patch Tuesday fev 2026 | | Microsoft 365 Apps (cloud) | Versões antes de 2026-02-11 | Atualização automática | ## Análise Técnica A vulnerabilidade está no componente de renderização/parsing do Office que processa conteúdo embutido em documentos. O flaw pode ser classificado como use-after-free ou corrupção de memória no heap, permitindo que o atacante redirecione a execução do programa para shellcode embutido no documento malicioso. O padrão de exploração observado em campanhas de espionagem: 1. **Entrega via spear-phishing** - Documento Office enviado por e-mail com tema relevante para o alvo (diplomacia, defesa, política) 2. **Abertura do documento** - Vítima abre o arquivo; a vulnerabilidade é acionada automaticamente 3. **Shellcode execution** - Código de primeiro estágio deofusca e executa payload de segundo estágio 4. **Loader/dropper** - Instalação de implante sofisticado (HEADLACE, OCEANMAP - TTPs associados ao APT28) 5. **C2 commúnication** - Estabelecimento de canal de comando e controle via HTTP/S para infraestrutura do atacante Esta CVE integra um padrão preocupante junto com [[cve-2026-21533|CVE-2026-21533]] (Windows RDS EoP) no mesmo Patch Tuesday, sugerindo que atores sofisticados podem estar encadeando ambas as vulnerabilidades em cadeias de exploração multi-estágio. **TTPs relacionadas:** [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]], [[t1566-spear-phishing-attachment|T1566.001 - Spear-Phishing Attachment]], [[t1068-exploitation-for-privilege-escalation|T1068]], [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Contexto LATAM > [!latam] Impacto na América Latina > Organizações governamentais brasileiras, diplomáticas e de defesa utilizam Microsoft Office como plataforma padrão de produtividade. A exploração por grupos russos como APT28 e APT29 é historicamente direcionada a alvos de alto perfil geopolítico, incluindo organizações ligadas à OTAN e parceiros estratégicos. Brasil, como membro do G20 e interlocutor diplomático relevante, possui organizações no radar de grupos de espionagem de estado-nação. O Ministério das Relações Exteriores, Forças Armadas e grandes empresas de infraestrutura crítica devem priorizar este patch emergêncialmente e revisar logs de e-mail em busca de entrega de documentos Office suspeitos no período anterior ao patch. ## Mitigação 1. **Aplicar Patch Tuesday de fevereiro 2026** - atualização emergêncial para todos os sistemas Office 2. Habilitar **Protected View** e **Application Guard** no Microsoft 365 para abrir documentos de fontes externas em sandbox 3. Configurar regras de ASR (Attack Surface Reduction) no Microsoft Defender para bloquear macros e conteúdo Office malicioso 4. Implementar filtro de e-mail para inspeção de anexos Office antes da entrega na caixa de entrada 5. Revisar logs do Microsoft Defender ATP/Sentinel em busca de processos filhos anômalos originados de `winword.exe`, `excel.exe` ou `powerpnt.exe` 6. Considerar bloqueio temporário de documentos Office com macros ativas de fontes externas **Mitigação MITRE:** [[m1048-application-isolation-and-sandboxing|M1048 - Application Isolation and Sandboxing]], [[m1049-antivirus-antimalware|M1049 - Antivirus/Antimalware]] ## Referências - [NVD - CVE-2026-21514](https://nvd.nist.gov/vuln/detail/CVE-2026-21514) - [CISA KEV - 6 CVEs adicionadas em fev 2026](https://www.cisa.gov/news-events/alerts/2026/02/10/cisa-adds-six-known-exploited-vulnerabilities-catalog) - [Microsoft MSRC - February 2026 Patch Tuesday](https://msrc.microsoft.com/update-guide/) - [BleepingComputer - Microsoft February 2026 Patch Tuesday](https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2026-patch-tuesday-fixes-6-zero-days-58-flaws/)