Microsoft Office’da yangi zero-day: zararli faylni ochish kifoya — himoya chetlab o‘tiladi

Microsoft 2026-yil 26-yanvar kuni rejalashtirilmagan (out-of-band) xavfsizlik yangilanishlarini e’lon qildi. Sabab — CVE-2026-21509 identifikatoriga ega, real hujumlarda allaqachon qo‘llanilayotgan zero-day zaiflik. Ushbu kamchilik Microsoft Office’ning OLE/COM komponentlari bilan bog‘liq himoya mexanizmlarini chetlab o‘tishga imkon beradi.

Zaiflik “Important” darajada baholangan bo‘lsa-da (CVSS 7.8), uning amalda ekspluatatsiya qilinayotgani va foydalanuvchini aldab zararli faylni ochishga undash kifoya ekani xavfni keskin oshiradi.

Zaiflik mohiyati nimada?

Office hujjatlarida OLE (Object Linking and Embedding) va COM (Component Object Model) texnologiyalari turli obyektlar bilan ishlash imkonini beradi. Microsoft so‘nggi yillarda aynan shu mexanizmlar orqali bo‘ladigan hujumlarga qarshi bir qator himoya qatlamlarini joriy etgan edi.

CVE-2026-21509 esa aynan shu himoyalarni ishonchsiz kirish ma’lumotlari (untrusted input) orqali aldab o‘tadi. Natijada, foydalanuvchi fishing yoki ijtimoiy muhandislik yo‘li bilan yuborilgan zararli hujjatni ochsa, Office’ning xavfsizlik cheklovlari samarali ishlamay qoladi.

Hujum uchun:

  • Maxsus huquqlar talab etilmaydi
  • Murakkab ekspluatatsiya kerak emas
  • Faqat foydalanuvchi faylni ochishi kifoya

Biroq oqibatlar juda jiddiy: maxfiylik, yaxlitlik va mavjudlikka yuqori darajada zarar yetishi mumkin (C:H / I:H / A:H).

Kimlar ta’sir ostida?

Zaiflik eski va yangi Office talqinlariga taalluqli. Microsoft 26-yanvar kuni yangilanishlarni tarqatdi.

Ta’sirlangan mahsulotlar:

  • Office 2016 (32/64-bit)
  • Office 2019
  • Office LTSC 2021
  • Office LTSC 2024
  • Microsoft 365 Apps for Enterprise

Foydalanuvchilar o‘z versiyasini File → Account → About bo‘limidan tekshirishlari mumkin.

Office 2021 va undan yuqori versiyalarda himoya ko‘p hollarda avtomatik qo‘llanadi (dastur qayta ishga tushirilgach). Office 2016/2019 foydalanuvchilari esa yangilanish o‘rnatishi yoki vaqtinchalik reyestr (registry) sozlamasini qo‘llashi kerak bo‘ladi.

Vaqtincha himoya (mitigation) chorasi

Yangilash imkoni bo‘lmaganda, Microsoft reyestr orqali muqobil himoya qo‘shishni tavsiya qilmoqda. Bunda COM moslik bayroqlari (Compatibility Flags) qo‘shiladi.

Biroq:

  • Reyestrni o‘zgartirishdan oldin zaxira (backup) olish shart
  • Noto‘g‘ri sozlama tizim ishiga ta’sir qilishi mumkin
  • O‘zgarishdan so‘ng Office ilovalari qayta ishga tushirilishi lozim

Amaliyotda esa eng to‘g‘ri yo‘l — rasmiy yangilanishni o‘rnatish.

Nega bu zaiflik xavfli?

Microsoft Threat Intelligence Center (MSTIC) ushbu zaiflik real hujumlarda ishlatilayotganini tasdiqladi. Bu oy Patch Tuesday’dan keyin faol ekspluatatsiya qilingan ikkinchi zero-day hisoblanadi.

Bunday vektorlar ko‘pincha:

  • Ransomware guruhlari
  • APT (Advanced Persistent Threat) aktorlari
  • Initial Access Broker’lar

tomonidan dastlabki kirish nuqtasi sifatida qo‘llanadi. Fishing xati, unga biriktirilgan Word/Excel hujjati va foydalanuvchining bitta bosishi — tizim xavfsizligini buzish uchun yetarli bo‘lishi mumkin.

Hozircha ommaviy PoC e’lon qilinmagan va aniq hujumchi guruhlar nomi keltirilmagan. Biroq CISA KEV ro‘yxatiga kiritilishi ehtimoli yuqori ekani ta’kidlanmoqda.

Tashkilotlar nima qilishi kerak?

Xavfsizlik mutaxassislari quyidagilarni tavsiya etadi:

  1. Zudlik bilan yangilanishlarni o‘rnating
  2. Office uchun avtomatik yangilanishlarni yoqing
  3. Fishing indikatorlarini (shubhali hujjatlar) monitoring qiling
  4. EDR/XDR tizimlari orqali OLE/COM bilan bog‘liq g‘ayrioddiy xatti-harakatlarni kuzating
  5. Foydalanuvchilarni fishing hujumlari bo‘yicha ogohlantiring

CVE-2026-21509 Office’ning ichki himoya mexanizmlarini chetlab o‘tishga qaratilgan xavfli zero-day bo‘lib, u real hujumlarda qo‘llanilmoqda. Hujum murakkab emas, ammo oqibati juda og‘ir.

Bitta zararli hujjat — butun tizim xavfsizligiga tahdid.

Yangilanishni kechiktirish esa hujumchilar uchun qulay imkoniyat yaratish bilan barobar.