Microsoft Patch Darurat Zero-Day Microsoft Office (CVE-2026-21509)
Pada 3 Mei 2021, Microsoft merilis pembaruan keamanan darurat (out-of-band update) untuk memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi pada Microsoft Office. Kerentanan ini dilacak sebagai CVE-2026-21509 dan telah dieksploitasi secara aktif dalam serangan di dunia nyata.
Pembaruan ini dirilis di luar siklus Patch Tuesday reguler, yang menandakan urgensi dan tingkat risiko eksploitasi yang signifikan. Zero-day berarti celah keamanan tersebut telah dimanfaatkan sebelum patch resmi tersedia untuk publik.
Versi Microsoft Office yang Terdampak
Kerentanan CVE-2026-21509 memengaruhi berbagai versi Microsoft Office, termasuk:
-
Microsoft Office 2016
-
Microsoft Office 2019
-
Microsoft Office LTSC 2021
-
Microsoft Office LTSC 2024
-
Microsoft 365 Apps for Enterprise
Microsoft 365 Apps for Enterprise merupakan layanan berbasis cloud dengan model berlangganan yang digunakan secara luas oleh organisasi dan perusahaan.
Pada pembaruan tanggal 28 Januari, Microsoft juga merilis pembaruan keamanan tambahan untuk Office 2016 dan 2019, memastikan cakupan perlindungan yang lebih luas terhadap eksploitasi aktif.
Detail Teknis Kerentanan CVE-2026-21509
Kerentanan ini dikategorikan sebagai security feature bypass vulnerability. Secara teknis, masalah terjadi karena adanya reliance on untrusted inputs in a security decision dalam Microsoft Office.
Microsoft menjelaskan bahwa:
"Ketergantungan pada input tidak tepercaya dalam pengambilan keputusan keamanan memungkinkan penyerang tidak sah untuk melewati fitur keamanan secara lokal"
Artinya, sistem mempercayai input tertentu tanpa validasi keamanan yang memadai, sehingga memungkinkan penyerang melewati mekanisme perlindungan internal.
Kerentanan ini secara spesifik melewati mitigasi OLE (Object Linking and Embedding) yang dirancang untuk melindungi pengguna dari kontrol COM/OLE yang rentan.
Apakah Preview Pane Berbahaya?
Microsoft menegaskan bahwa Preview Pane bukan merupakan attack vector dalam kasus ini. Namun demikian, eksploitasi tetap memungkinkan melalui:
-
Serangan lokal tanpa autentikasi
-
Kompleksitas rendah
-
Membutuhkan interaksi pengguna
Penyerang harus:
-
Mengirim file Office berbahaya kepada korban.
-
Meyakinkan korban untuk membuka file tersebut.
Dengan kata lain, ini merupakan skenario klasik social engineering yang dipadukan dengan eksploitasi teknis.
Mekanisme Perlindungan dan Perubahan Service-Side
Microsoft menyatakan bahwa pelanggan Office 2021 dan versi yang lebih baru akan otomatis terlindungi melalui perubahan service-side. Namun, pengguna tetap harus me-restart aplikasi Office agar perubahan tersebut efektif.
Selain itu, Microsoft Defender telah memiliki deteksi untuk memblokir eksploitasi kerentanan ini. Fitur Protected View juga memberikan lapisan perlindungan tambahan dengan memblokir file berbahaya yang berasal dari Internet.
Microsoft juga menekankan praktik keamanan terbaik, yaitu berhati-hati saat mengunduh file dari sumber yang tidak dikenal dan tidak sembarangan mengaktifkan mode editing ketika muncul peringatan keamanan.
Mitigasi Manual melalui Registry Windows
Microsoft juga memberikan langkah mitigasi tambahan yang diklaim dapat mengurangi tingkat keparahan eksploitasi. Namun, instruksi awal dinilai membingungkan sehingga diperlukan klarifikasi teknis.
Berikut adalah panduan mitigasi secara rinci:
1. Tutup Semua Aplikasi Microsoft Office
Pastikan tidak ada aplikasi Office yang sedang berjalan sebelum melakukan perubahan.
2. Backup Windows Registry
Pengeditan Registry yang tidak tepat dapat menyebabkan gangguan sistem operasi. Backup sangat direkomendasikan.
3. Buka Registry Editor
-
Klik Start
-
Ketik
regedit -
Tekan Enter
4. Periksa Keberadaan Registry Key Berikut
Untuk 64-bit Office atau 32-bit Office di 32-bit Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\
Untuk 32-bit Office di 64-bit Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\
Untuk instalasi Click-to-Run:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\
Atau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\
Jika key tersebut tidak ada, buat key baru bernama COM Compatibility di bawah path:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\
5. Buat Key CLSID Spesifik
Di dalam COM Compatibility:
-
Klik kanan → New → Key
-
Beri nama: {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}
6. Tambahkan DWORD Compatibility Flags
-
Klik kanan pada key yang baru dibuat
-
Pilih New → DWORD (32-bit) Value
-
Beri nama: Compatibility Flags
-
Double click dan atur:
-
Base: Hexadecimal
-
Value data: 400
-
Setelah langkah ini dilakukan, kerentanan akan termitigasi saat aplikasi Office berikutnya dijalankan.
Konteks Patch Tuesday Januari 2026
Sebelumnya, dalam Patch Tuesday Januari 2026, Microsoft merilis pembaruan untuk 114 kerentanan, termasuk:
-
Satu zero-day yang aktif dieksploitasi
-
Dua zero-day yang telah dipublikasikan
Zero-day lain yang juga ditambal bulan tersebut adalah celah pengungkapan informasi pada Desktop Window Manager yang memungkinkan pembacaan alamat memori terkait remote ALPC port.
Selain itu, Microsoft juga merilis beberapa pembaruan out-of-band untuk Windows guna memperbaiki bug shutdown, Cloud PC, serta masalah pada klien email Outlook klasik yang mengalami freeze atau hang.
Analisis Keamanan dan Implikasi bagi Organisasi
Kerentanan CVE-2026-21509 menegaskan kembali beberapa prinsip penting dalam keamanan siber:
-
Model ancaman berbasis social engineering masih sangat efektif.
-
Mekanisme mitigasi seperti OLE hardening tetap memiliki potensi bypass.
-
Layered security (Defender + Protected View + Patch) sangat krusial.
Bagi organisasi, langkah yang sebaiknya dilakukan meliputi:
-
Segera menerapkan patch resmi.
-
Mengaktifkan Microsoft Defender dengan signature terbaru.
-
Menerapkan kebijakan pembatasan makro dan kontrol COM.
-
Melakukan awareness training terkait file Office berbahaya.