Un correctif de sécurité publié par Microsoft vise une vulnérabilité zero-day d’Office permettant l’exécution de code à distance. En cause, l’ouverture d’un document piégé et le retour inattendu de composants legacy au cœur de la chaîne d’attaque.
Une faille zero-day exploitée avant même la publication du correctif
Hier, Microsoft a déployé un correctif de sécurité pour une vulnérabilité zero-day référencée CVE-2026-21509, affectant Office 2016, Office 2019 et Microsoft 365 Apps for Enterprise. Classée de gravité élevée, la faille permet l’exécution de code à distance sur le poste de la victime, à la suite de l’ouverture d’un fichier Office spécialement conçu.
Microsoft indique par ailleurs que sa découverte ne résulte pas d’un signalement coordonné, mais d’une identification réalisée en interne. Ces éléments suggèrent une exploitation active antérieure à la diffusion du correctif, sans que l’éditeur ne précise à ce stade l’ampleur ou la nature des attaques observées.
Concrètement, l’attaque repose sur un document Office piégé, capable de déclencher un comportement inattendu du système. À l’ouverture, le fichier force le chargement d’un composant ancien mais toujours présent dans Windows, créant une surface d’attaque exploitable par des acteurs malveillants.
Internet Explorer, talon d’Achille persistant des environnements Windows
Selon Boris Larin, principal security researcher chez Kaspersky GReAT, les éléments communiqués par Microsoft décrivent un scénario déjà bien connu des chercheurs en sécurité. L’ouverture du fichier malveillant entraîne le chargement de l’ancien navigateur Internet Explorer, pourtant officiellement retiré et non maintenu.
Dans cet environnement obsolète, les attaquants peuvent exploiter des mécanismes hérités pour exécuter du code à distance sur la machine de la victime. Une technique déjà observée par le passé, notamment lors de la vulnérabilité CVE-2018-8174, qui reposait sur des logiques similaires de détournement de composants legacy.
Le point préoccupant, souligne le chercheur, tient au fait que Microsoft avait pourtant mis en place des garde-fous destinés à empêcher ce type de réactivation abusive d’Internet Explorer. Cette nouvelle faille semble contourner ces protections, illustrant la difficulté persistante à neutraliser totalement des briques anciennes encore profondément imbriquées dans les systèmes.
Même des logiciels officiellement dépréciés peuvent ainsi continuer à jouer un rôle critique dans les chaînes d’attaque modernes, rappelant que la gestion du risque ne se limite pas aux composants visibles ou activement maintenus.
