Office 用户速看！CVE-2026-21509 零日漏洞绕过安全机制，可盗文件装恶意软件，立即修复

Office用户注意！微软刚紧急通报一个正被黑客在野利用的零日漏洞——CVE-2026-21509，CVSS评分7.8（重要级），影响Office 2016/2019/2021/LTSC 2024及Microsoft 365 Apps。攻击者只需诱骗你打开恶意Word/Excel文档，就能绕过Office安全机制，窃取文件、植入恶意软件甚至控制你的电脑。

更棘手的是，Office 2016/2019的正式补丁尚未发布，用户需手动改注册表临时防护；而365 Apps与2021/2024 LTSC用户重启Office即可自动生效服务器端修复。

• 详细信息：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509

漏洞核心：绕过OLE防护，黑客可自由执行恶意代码

这个漏洞本质是安全功能绕过漏洞，专门突破Office的OLE（对象链接与嵌入）安全机制。正常情况下，Office会拦截文档中隐藏的危险COM/OLE控件，防止恶意代码执行；但该漏洞让Office“忽略自身安全规则”，信任攻击者构造的恶意输入，直接放行危险控件。

攻击流程（3步即可中招）

1. 攻击者制作包含恶意COM/OLE控件的Word/Excel文档；
2. 通过钓鱼邮件、即时通讯等方式，诱骗用户打开文档（预览模式不会触发，必须双击打开）；
3. 文档启动后，恶意控件绕过防护执行代码，窃取数据、安装木马或篡改文件。

影响范围（覆盖主流Office版本）

分级防护：不同版本的紧急修复方案

方案1：365 Apps/LTSC 2021/2024用户（最简单）

1. 关闭所有Office应用（Word/Excel/PowerPoint等）；
2. 重新启动Office程序，服务器端修复自动生效，无需额外操作。

方案2：2016/2019用户（需手动改注册表，高危操作）

修改注册表前必须备份（建议用系统自带注册表备份工具，详见微软官方指南），避免误操作导致系统故障。

详细步骤

1. 退出所有Office程序，按Win键+R，输入regedit打开注册表编辑器；
2. 定位对应注册表路径（根据Office安装类型选择）：安装类型路径64位MSI/32位Windows上的32位MSIHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\64位Windows上的32位MSIHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\64位Click2Run/32位Windows上的32位Click2RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\64位Windows上的32位Click2RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\若没有COM Compatibility项，右键Common→新建→项，命名为COM Compatibility；
3. 右键COM Compatibility→新建→项，命名为{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}；
4. 右键新项→新建→DWORD（32位）值，命名为Compatibility Flags，值设为400（十六进制）；
5. 关闭注册表编辑器，重启Office应用，临时防护生效。

额外防护：降低攻击风险的3个好习惯

1. 拒绝陌生文档：不打开来源不明的Word/Excel附件，尤其是“发票”“合同”等钓鱼文档；
2. 启用宏阻止：Office默认禁用宏，不要为陌生文档启用宏；
3. 定期备份数据：重要文件存到本地+云盘双备份，防止数据被篡改或加密。

建议2016/2019用户尽快按指南修改注册表，同时关注微软官方公告，待正式补丁发布后立即安装；365与2021/2024用户也需重启Office，确保修复生效。