O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) emitiu um alerta sobre uma vulnerabilidade crítica no Microsoft Office identificada como CVE-2026-21509, que pode permitir o desvio de mecanismos de proteção do sistema. A falha já conta com atualização de segurança disponibilizada pelo fabricante.
Segundo o comunicado, a falha permite que um atacante contorne recursos de segurança localmente em sistemas afetados. O CTIR Gov recomenda que órgãos públicos e demais instituições verifiquem imediatamente se utilizam versões vulneráveis do software e apliquem as correções fornecidas pela Microsoft. Em casos de produtos em fim de vida ou sem suporte, a orientação é descontinuar o uso e migrar para versões atualizadas.
Entre os produtos afetados estão versões do Microsoft Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 e Microsoft 365 Apps for Enterprise, em faixas específicas de atualização indicadas pelo fornecedor.
A vulnerabilidade está listada no catálogo Known Exploited Vulnerabilities da agência norte-americana Cybersecurity and Infrastructure Security Agency (CISA), o que indica evidências de exploração ativa em ambientes reais. O CVSS (Common Vulnerability Scoring System) atribuiu à falha a pontuação 7,8, enquanto o Exploit Prediction Scoring System aponta probabilidade de exploração de 13,01% em 30 dias, com percentil de 93,88%.
O CTIR Gov reforçou que órgãos da Rede Federal de Gestão de Incidentes Cibernéticos devem tratar com urgência vulnerabilidades identificadas em alertas oficiais, conforme o Decreto nº 10.748, de 2021, que estabelece diretrizes de segurança cibernética para a administração pública federal. As equipes de TI devem acompanhar as atualizações de segurança do fornecedor e adotar medidas de correção para reduzir riscos de exploração em ambientes institucionais.
