suuhm/CVE-2026-21509-handler

# CVE-2026-21509 Office Kill-Bit Manager PowerShell 脚本，用于**检查、应用和测试**影响 Office 2016/2019/LTSC 的 **CVE-2026-21509** Microsoft Office 零日漏洞的 Kill-Bit 保护。 ## 什么是 CVE-2026-21509？ Microsoft Office OLE/COM 处理中的**严重 RCE 漏洞**（CVSS 9.8）。该漏洞已被 APT28 (Fancy Bear) 通过针对 Shell.Explorer COM 对象 `{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}` 的恶意 RTF/DOC 文件积极利用。 **受影响版本**：Office 2016、2019、LTSC 2021/2024、Microsoft 365 Apps（2026 年 1 月 26 日补丁之前的版本） ## 功能 | 功能 | 描述 | |---------|-------------| | **Kill-Bit 检查** | 检测注册表中的保护是否激活 | | **自动修补** | 为 32/64 位 Office 设置 Kill-Bit | | **测试文件** | 创建 RTF 虚拟文件以验证 Kill-Bit 是否阻止 COM 对象 | | **KB 检查器** | 列出 KB5002694/KB5002695 补丁 | | **恢复** | 移除 Kill-Bit（官方补丁发布后） | | **自动检测** | 识别 Office 架构 | ## 前置条件 - **Windows 10/11** 且安装了 **Office 2016+** - **PowerShell 5.1+**（内置） - **管理员权限**（操作注册表所需） ## 安装 1. **下载** `CVE-2026-21509.ps1` 2. **右键点击** → **“使用 PowerShell 运行”**（以管理员身份） 3. **菜单驱动** - 无需参数 ## 使用方法 ``` === CVE-2026-21509 Office Kill-Bit Management === ░█▀▀░█░█░█▀▀░░░░░▀▀▄░▄▀▄░▀▀▄░▄▀▀░░░░░▀▀▄░▀█░░█▀▀░▄▀▄░▄▀▄ ░█░░░▀▄▀░█▀▀░▄▄▄░▄▀░░█/█░▄▀░░█▀▄░▄▄▄░▄▀░░░█░░▀▀▄░█/█░░▀█ ░▀▀▀░░▀░░▀▀▀░░░░░▀▀▀░░▀░░▀▀▀░░▀░░░░░░▀▀▀░▀▀▀░▀▀░░░▀░░▀▀░ Name: CVE-2026-21509.ps1 =====================================================" 1. Check Kill-Bit Status [Recommended first] 2. Apply Kill-Bit Protection [If missing] 3. Test with Dummy COM File [Verify protection] 4. Remove Kill-Bit (Restore) [After official patch] 5. Check KB Updates [Patch status] 0. Exit ``` ### 快速启动工作流 ``` # 1. 检查状态 Option 1 → "Kill-Bit MISSING" = Vulnerable! # 2. 应用保护 Option 2 → "PROTECTED! 2 registry entries patched" # 3. 使用 test 验证 Option 3 → Creates test RTF → Open in Word ✓ Kill-Bit works = "Object cannot be activated" ✗ Vulnerable = Object loads ``` ## 测试文件结果 | Kill-Bit 状态 | Word 行为 | 保护状态 | |----------------|---------------|------------| | **激活** | "无法激活对象" / 空白区域 | ✅ **安全** | | **未激活** | COM 对象加载 / 潜在 RCE | ⚠️ **风险** | ## KB 补丁 | KB | Office 版本 | 发布日期 | |----|----------------|---------| | **KB5002694** | Office 2016/2019 | 2026年1月26日 | | **KB5002695** | LTSC 2021/2024, M365 | 2026年1月26日 | **选项 5** 通过 `Get-HotFix` 显示安装状态。 ## 注册表位置 **64 位 Office**: ``` HKLM\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} "Compatibility Flags" = dword:00000400 ``` **32 位 Office**: ``` HKLM\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\... ``` ## 故障排除 | 问题 | 解决方案 | |-------|----------| | "拒绝访问" | 以**管理员身份**运行 | | "未找到 Office" | 需要安装 Office 2016+ | | 测试文件"安全"但缺少 KB | Kill-Bit 生效，但仍需安装 KB | | 正常 COM 对象损坏 | 临时现象 - 安装 KB 后移除 | ## 安全说明 - **Kill-Bit 仅阻止此 CLSID** - 其他 Office 功能不受影响 - **官方补丁**会自动设置/移除 Kill-Bit - **测试文件是安全的** - 不包含可执行代码，仅包含 CLSID 引用 - **网络钓鱼仍然危险** - 保持启用 Protected View ## 补丁安装后 1. ✅ 从 Windows Update / [更新目录](https://catalog.update.microsoft.com) 安装 **KB5002694/95** 2. ✅ 选项 4 → **移除 Kill-Bit**（可选，补丁会处理） 3. ✅ 从 `%TEMP%` 删除测试文件 ## 许可证 [MIT 许可证](LICENSE) - 个人/商业用途免费。 ## 免责声明 **非 Microsoft 官方软件**。使用风险自负。已在 Windows 10/11 配合 Office 2016-2024 上测试。 **⭐ 如果有帮助，请在 GitHub 上 Star！** **🐛 遇到问题？** [提交 issue](https://github.com/suuhm/CVE-2026-21509-handler/issues) **参考资料**: [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities) | [MSRC](https://msrc.microsoft.com) | [BornCity 博客](https://borncity.com)

标签：AI合规, APT28, CVE-2026-21509, Fancy Bear, IPv6, Kill-Bit, Libemu, Libemu, Libemu, Microsoft Office, OLE/COM, PowerShell, RCE, RFI远程文件包含, RTF 文档, Shell.Explorer, Windows 安全, 入侵防御, 安全补丁, 注册表管理, 漏洞缓解, 知识库安全, 私有化部署, 系统加固, 编程工具, 远程代码执行, 防御规避, 零日漏洞