Home » Nieuws » Microsoft brengt noodpatch uit voor zeroday in Office

28 January 2026

Microsoft brengt noodpatch uit voor zeroday in Office

Afgelopen maandag bracht Microsoft noodpatches uit voor een ernstig zero-day-lek in Office, geïdentificeerd als CVE-2026-21509. Het lek kreeg een CVSS-score van 7,8/10 en stelt een aanvaller in staat een beveiligingsfunctie te omzeilen die normaal gesproken onveilige Object Linking and Embedding (OLE)-besturingselementen blokkeert. De kwetsbaarheid wordt geactiveerd wanneer een ontvanger een speciaal vervaardigd Office-document opent; het voorbeeldvenster vormt geen risico. Volgens The Hacker News werd het beveiligingsadvies uitgebracht naar aanleiding van bevestigde actieve exploitatie.

Microsoft beschreef het probleem als een omzeiling van een beveiligingsfunctie. De aanvaller kan OLE-mitigaties uitschakelen die beschermen tegen kwaadaardige COM-objecten, waardoor lokale uitvoering van in het document ingesloten code mogelijk wordt. De patch maakt deel uit van een out-of-band-update voor Microsoft 365- en Office-producten. Gebruikers van Office 2021 of nieuwer ontvangen de oplossing automatisch; de wijziging wordt actief na het herstarten van een Office-toepassing. Voor oudere versies moeten gebruikers specifieke update-builds installeren. De vereiste versies staan vermeld in het beveiligingsadvies:

Office 2019 (32-bit en 64-bit): build 16.0.10417.20095
Office 2016 (32-bit en 64-bit): build 16.0.5539.1001

Als gebruikers de patches niet kunnen downloaden of toepassen, raadt Microsoft een handmatige registeraanpassing aan die de kwetsbare compatibiliteitsvlag uitschakelt. De procedure omvat het maken van een back-up van het register, het sluiten van alle Office-toepassingen en het navigeren naar de juiste sleutel. Het pad van de sleutel varieert afhankelijk van het type Office-installatie en de architectuur van het besturingssysteem. Bijvoorbeeld: een 64-bit Office op een 64-bit Windows-systeem gebruikt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility. Na het toevoegen van een nieuwe subkey met de naam {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} en een DWORD-waarde genaamd Compatibility Flags ingesteld op 400, moet de gebruiker Office opnieuw starten. Microsoft biedt gedetailleerde instructies in zijn handleiding voor registerback-up.

Het beveiligingsadvies vermeldt niet hoe wijdverbreid de exploitatie inmiddels is. Microsoft’s Threat Intelligence Center, Security Response Center en het Office Product Group Security Team worden gecrediteerd voor het ontdekken van het lek. Omdat de kwetsbaarheid actief wordt uitgebuit, heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) CVE-2026-21509 toegevoegd aan zijn Known Exploited Vulnerabilities (KEV)-catalogus. Het updateportaal van Microsoft Office toont de nieuwste beveiligingsreleases en bevestigt dat de patch is opgenomen in de update-roll-up.

Deel dit artikel

Picture of Door John de Kroon

Door John de Kroon

John de Kroon is de CTO van NetCaptain. Met meer dan 15 jaar ervaring als Ethisch Hacker heeft hij de leiding over de ontwikkelings- en onderzoekstak binnen NetCaptain.

Verder lezen?

Inloggen en authenticatie

15 May 2026

Een veilige en betrouwbare toegang tot je vulnerability management platform is de basis van goed beveiligingsbeheer. In dit artikel lees je hoe je voor het eerst inlogt op NetCaptain, waar je rekening mee moet houden bij certificaten en wat je kunt doen als je je wachtwoord bent vergeten.

Minimale systeemvereisten

15 May 2026

Om het beste uit NetCaptain te kunnen halen is het belangrijk dat de minimale systeemvereisten gehanteerd worden. In dit artikel leggen we uit wat de systeemvereisten zijn en waarom ze belangrijk zijn.

De Cyberbeveiligingswet en aantoonbare grip op digitale risico’s

22 January 2026

De Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2 richtlijn, treedt naar verwachting in 2026 in werking en vergroot het aantal organisaties dat onder cybersecuritytoezicht valt aanzienlijk. Niet alleen vitale sectoren, maar ook digitale dienstverleners zoals MSP’s en andere partijen in complexe IT ketens krijgen te maken met nieuwe verplichtingen.