A Microsoft liberou correções críticas para três vulnerabilidades de execução remota de código (RCE) relacionadas no Microsoft Outlook e Word. As falhas, rastreadas como CVE-2026-45456, CVE-2026-45458 e CVE-2026-47635, são classificadas como críticas com pontuação CVSS v3.1 base de 8.4, refletindo alto impacto na confidencialidade, integridade e disponibilidade se exploradas.
Descoberta e escopo
Todas as três vulnerabilidades têm raízes no manuseio inseguro de memória dentro do pipeline de análise de documentos do Office. As falhas estão enraizadas em falhas de segurança de memória de baixo nível no mecanismo de renderização do Word e em sua integração com o Outlook Classic. Embora os vetores de ataque do CVSS mostrem um vetor de ataque local (AV:L), a Microsoft as classifica como execução remota de código porque um atacante remoto pode entregar conteúdo malicioso pela rede, por exemplo, via e-mail.
Mecanismo de exploração
CVE-2026-45456 e CVE-2026-47635 envolvem confusão de tipos, onde estruturas de dados internas são acessadas com um tipo incompatível ou incorreto, quebrando as garantias de segurança de tipo em tempo de execução. Na prática, um documento elaborado pode manipular as suposições de layout de objetos para que o mecanismo do Word interprete dados controlados pelo atacante como um objeto ou ponteiro válido. Uma vez que o mecanismo realiza operações nesse objeto com tipo incorreto, pode causar corrupção de memória controlada, que os atacantes podem explorar para executar código arbitrário.
CVE-2026-45458 envolve um padrão use-after-free. Neste cenário, o Word libera um objeto de memória, mas continua a manter um ponteiro pendente para ele. Um documento elaborado pelo atacante pode fazer com que a região liberada seja reallocada para dados controlados pelo atacante, de modo que, quando o ponteiro obsoleto for posteriormente desreferenciado, a execução flui através de dados controlados pelo atacante.
Impacto operacional
Um detalhe operacional chave para defensores é que o Outlook Classic usa o Word como mecanismo de renderização para conteúdo de e-mail, inclusive na Visualização de Leitura. Isso significa que um corpo de e-mail ou anexo especialmente elaborado que acione um desses caminhos de corrupção de memória pode executar código apenas quando a mensagem é renderizada, sem exigir que o usuário abra um anexo explicitamente. Do ponto de vista da cadeia de morte, isso permite que um atacante remoto envie um único e-mail armado para um alvo, confie na renderização automática ou na visualização do usuário no Outlook e alcance execução de código arbitrário com as permissões do usuário da vítima.
Medidas de mitigação recomendadas
Do ponto de vista da postura defensiva, o patching permanece como a mitigação primária e não negociável, pois estas são questões de nível de mecanismo que não podem ser totalmente neutralizadas apenas por alterações de configuração. No entanto, as organizações podem reduzir a explorabilidade e o raio de explosão através de controles em camadas. O endurecimento do Outlook, desabilitando ou limitando a Visualização de Leitura para caixas de correio não confiáveis, e a imposição da Visualização Protegida para arquivos originados da internet.
O uso de regras de Redução da Superfície de Ataque (ASR) para restringir o Office de gerar processos filhos pode elevar substancialmente a barreira para exploração bem-sucedida e ações pós-comprometimento. Do lado da detecção, as equipes de segurança devem observar processos Word ou Outlook anômalos exibindo violações incomuns de acesso à memória, falhas ao renderizar mensagens específicas ou processos filhos suspeitos gerados pelo Office, o que pode ser indicativo de tentativas de exploração ou execução de código bem-sucedida.
Escopo de versões afetadas
O escopo afetado inclui o Microsoft Office LTSC 2024 (32 bits e 64 bits) e outras versões suportadas do Word/Outlook que usam os mesmos componentes de renderização. A orientação da Microsoft enfatiza que os clientes devem aplicar todas as atualizações de segurança do Office aplicáveis às suas instalações em ambientes com múltiplas SKU do Office, e que os administradores devem garantir que cada linha de produto receba seu pacote de segurança correspondente.
O que os CISOs devem fazer imediatamente
As organizações devem priorizar a implantação de patches em todos os sistemas para reduzir a exposição e prevenir possível exploração. A Microsoft recomenda que os clientes apliquem todas as atualizações de segurança do Office aplicáveis às suas instalações em ambientes com múltiplas SKU do Office. Alguns canais do Office Mac (Office LTSC para Mac 2021/2024 e Microsoft 365 para Mac) podem receber seus patches ligeiramente mais tarde do que outros. No entanto, eles fazem parte do mesmo esforço de remediação.