O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) emitiu um alerta de segurança sobre uma vulnerabilidade crítica no Microsoft Office que pode permitir o desvio de mecanismos de proteção do sistema. A falha está registrada como CVE-2026-21509 na base internacional Common Vulnerabilities and Exposures, e já possui atualização de segurança disponibilizada pelo fabricante.
De acordo com o comunicado, a vulnerabilidade permite que um atacante contorne recursos de segurança localmente em sistemas afetados. O CTIR Gov recomenda que órgãos públicos e demais instituições verifiquem imediatamente se utilizam versões vulneráveis do software e apliquem as correções disponibilizadas pela Microsoft. Em casos de produtos que estejam em fim de vida ou sem suporte, a orientação é descontinuar o uso e migrar para versões atualizadas.
Entre os produtos afetados estão versões do Microsoft Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 e Microsoft 365 Apps for Enterprise, em faixas específicas de atualização indicadas pelo fornecedor.
A vulnerabilidade está listada no catálogo Known Exploited Vulnerabilities da agência norte-americana Cybersecurity and Infrastructure Security Agency, o que indica evidências de exploração ativa em ambientes reais. O problema recebeu pontuação 7,8 no Common Vulnerability Scoring System, metodologia que mede a gravidade de falhas de segurança em software. No Exploit Prediction Scoring System, que estima a probabilidade de exploração em um período de 30 dias, a vulnerabilidade apresenta probabilidade de 13,01%, com percentil de 93,88%.
O CTIR Gov também reforçou que órgãos integrantes da Rede Federal de Gestão de Incidentes Cibernéticos devem tratar com urgência vulnerabilidades identificadas em alertas oficiais, conforme previsto no Decreto nº 10.748, de 2021, que estabelece diretrizes de segurança cibernética para a administração pública federal.
O comunicado orienta que as equipes de tecnologia da informação acompanhem as atualizações de segurança do fornecedor e adotem medidas de correção para reduzir riscos de exploração da falha em ambientes institucionais.
