sentinel-aidefense/CVE-2026-21509
GitHub: sentinel-aidefense/CVE-2026-21509
针对 Microsoft Office OLE 安全功能绕过漏洞 CVE-2026-21509 的防御分析仓库,提供漏洞根因分析、APT28 攻击链还原、检测指南和缓解措施。
Stars: 0 | Forks: 0
# CVE-2026-21509 — Microsoft Office OLE 安全功能绕过
[](https://www.cve.org/CVERecord?id=CVE-2026-21509)
[](https://nvd.nist.gov/vuln/detail/CVE-2026-21509)
[](https://cwe.mitre.org/data/definitions/807.html)
[](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)
[](#)
Microsoft Office 中的一个安全功能绕过漏洞,允许恶意构造的文档加载本应被 OLE 缓解机制
阻止的 COM 组件。目前正被 **APT28 (UAC-0001)** 积极用于攻击乌克兰和东欧目标。
📄 详细分析:https://sentinelaidefense.com/posts/cve-2026-21509-ole-bypass
## 概述
CVE-2026-21509 是 Microsoft Office 中的一个安全功能绕过漏洞,源于在安全决策中
依赖不受信任的输入 (CWE-807)。它允许未经授权的攻击者在用户打开特制文档时在本地
绕过 OLE 缓解机制。该缺陷影响嵌入对象的处理,特别是允许实例化安全控件旨在
限制的 COM 组件。
Microsoft 在确认被积极利用后,于 **2026 年 1 月 26 日**发布了带外更新。该漏洞的
CVSS v3.1 基础分为 **7.8** (`AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H`)。在披露后不久,它就被
添加到了 CISA 已知被利用漏洞目录中。
## 受影响版本
- Microsoft Office 2016
- Microsoft Office 2019
- Office LTSC 2021
- Office LTSC 2024
- Microsoft 365 Apps for Enterprise
补丁解决了受支持版本中的该问题,并为较新的 Click-to-Run 构建版本提供了额外的
服务端缓解措施。
## 技术分析(根本原因)
根本原因在于 Office 对用于 OLE/COM 对象加载相关安全决策的输入的验证逻辑。Office
维护 kill bits 和兼容性标志,以通过基于注册表的控制(例如,在 Office COM 兼容性
位置下)阻止已知的危险 COM 对象。
攻击者可以构造文档——主要是包含 OLE 对象的 RTF 文件——操纵这些输入的评估方式,
导致 Office 加载受限组件,例如 `Shell.Explorer.1`
(CLSID `{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}`)。此控件调用传统的
Internet Explorer / Trident 引擎,与现代沙箱相比,该引擎运行的限制较少,并允许
在极少的用户交互下加载外部资源(包括 LNK 文件)。
不需要内存损坏原语(缓冲区溢出、UAF);利用依赖于文档的结构操作来绕过 OLE 缓解
路径。该绕过发生在文档解析和对象初始化期间,例如在 `winword.exe` 等进程中。
## 攻击链(基于 CERT-UA 的观察)
CERT-UA 记录了归因于 **UAC-0001 (APT28)** 的攻击活动,其使用与地缘政治主题相关的
恶意 DOC/RTF 文档(例如,`Consultation_Topics_Ukraine(Final).doc`)。
1. 用户打开特制文档。
2. 利用 CVE-2026-21509 绕过 OLE 保护,实例化 `Shell.Explorer.1` 对象。
3. 该对象建立到外部资源的 WebDAV 连接并下载文件
(通常是包含可执行代码的 `.LNK` 快捷方式)。
4. 后续阶段下载并执行额外的 payload —— 投递 DLL 进而导致 **Covenant
Grunt** 植入或 **MiniDoor** 窃取程序。变种包括 COM 劫持和针对特定区域的投递。
该攻击链**不需要宏**,仅依赖于用户打开附件。最早观察到利用的时间为 **2026 年 1 月
29 日**,目标是乌克兰政府实体,并随后扩展到其他东欧组织。
## 检测指南
- 监控包含带有 CLSID
`{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}` 的 OLE 对象或引用 `Shell.Explorer.1` 的 RTF/DOC 文件。
- 检测文档打开后不久,源自 Office 进程的异常 WebDAV 连接或 `.LNK`/`.DLL` 文件下载。
- 针对特定 OLE 结构的 RTF 文件编写的 YARA 规则可以标记潜在的漏洞利用。
- 重点关注 EDR 中由 Office 派生的子进程(例如,通过命令行调用 `regsvr32`)以及连接到
已知 C2 基础设施的行为。
行为指标包括 Office 应用程序通过传统组件向外部主机发起网络活动。
## 入侵指标(来自 CERT-UA)
- 恶意样本文件名,如 `Consultation_Topics_Ukraine(Final).doc`。
- WebDAV URL 及相关的已下载 `.LNK` 文件,指向 Covenant Grunt 或 MiniDoor payload。
- 涉及使用 `regsvr32` 加载 DLL 的哈希值和命令行(具体数值与观察到的
攻击活动相关;完整列表请参阅 CERT-UA 公告)。
- 网络指标:连接到攻击者控制的服务器进行 payload 暂存。
## 缓解措施
为所有受影响版本应用 **2026 年 1 月 26 日**发布的 Microsoft 安全更新。如果
无法立即修补(特别是 Office 2016/2019),请通过为易受攻击的 CLSID 设置 **Compatibility Flags 为 `0x400`**,实施基于注册表的 COM kill bit 缓解措施。
其他控制措施:
- 启用受保护的视图和宏限制。
- 尽可能限制外部内容和 WebDAV。
- 使用应用程序控制解决方案限制 Office 子进程行为。
- 监控并阻止已知的恶意基础设施。
- 在邮件网关隔离入站的 RTF 文件——大多数组织在电子邮件中合法情况下不需要使用 RTF。
## 参考
- Microsoft MSRC 关于 CVE-2026-21509 的安全公告
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-21509
- CISA 已知被利用漏洞目录
- CERT-UA 关于 UAC-0001 / APT28 活动的公告
## 免责声明
本仓库仅出于**防御和教育目的**发布。它包含分析、
检测逻辑和缓解指南。不提供任何功能性漏洞利用代码。仅在您
有权测试和防御的系统上使用此信息。
由 Sentinel AI Defense 维护 ·
研究结果根据协调披露原则负责任地共享。
标签:DNS 反向解析, Go语言工具, Office安全, OLE绕过, 威胁情报, 开发者工具, 漏洞分析, 路径探测