Microsoft merilis patch keamanan out-of-band untuk menutup celah zero-day aktif di Microsoft Office. Kerentanan bertanda CVE-2026-21509 ini memiliki skor CVSS v3.1 sebesar 7,8, menunjukkan risiko yang cukup tinggi. Patch ini sangat penting untuk segera diinstal agar pengguna dapat melindungi sistem Office mereka dari serangan yang tengah terjadi.
Kerentanan memungkinkan penyerang melewati perlindungan Office dengan memanfaatkan dokumen yang telah dimodifikasi. Serangan efektif apabila pengguna membuka file berbahaya tersebut secara langsung, sehingga interaksi pengguna menjadi faktor krusial dalam eksploitasi ini.
Detail Teknis Kerentanan
Menurut Microsoft Security Response Center, masalah keamanan ini terletak pada bypass fitur perlindungan di Office. Sistem bergantung pada input tidak terpercaya dalam pengambilan keputusan keamanan, yang menyebabkan mitigasi Object Linking and Embedding (OLE) rentan dimanfaatkan. Kontrol COM dan OLE yang biasanya memblokir tindakan berbahaya menjadi celah masuk bagi penyerang.
Pengguna Office versi 2021 ke atas sudah mendapatkan perlindungan otomatis melalui perubahan di server Microsoft. Namun, agar fitur ini aktif, pengguna harus memulai ulang aplikasi Office mereka. Sementara bagi pengguna Office 2016 dan 2019, patch keamanan harus diunduh dan diinstal secara manual untuk mendapatkan perlindungan yang memadai.
Sebagai solusi sementara, Microsoft juga menyediakan opsi konfigurasi registry yang dapat diterapkan guna mengurangi risiko serangan sebelum patch resmi terpasang. Hal ini dapat menjadi langkah penting untuk meningkatkan keamanan bagi pengguna yang belum sempat mengupdate Office mereka.
Dampak dan Respons Pemerintah AS
Kerentanan ini masuk dalam daftar Known Exploited Vulnerabilities milik Cybersecurity and Infrastructure Security Agency (CISA) di Amerika Serikat. CISA mewajibkan seluruh instansi pemerintah federal untuk menerapkan pembaruan ini paling lambat tanggal 16 Februari. Ini menunjukkan betapa seriusnya ancaman yang ditimbulkan oleh celah keamanan ini.
Penambahan patch ini juga datang di tengah dinamika pembaruan Windows dan Office yang penuh tantangan. Misalnya, beberapa pembaruan Windows 11 seperti KB5074109 sebelumnya menimbulkan masalah stabilitas, termasuk kegagalan booting akibat error UNMOUNTABLE_BOOT_VOLUME di sejumlah perangkat. Risiko masalah teknis ini membuat pengguna mesti berhati-hati dan mengikuti panduan instalasi patch dengan seksama.
Panduan Praktis untuk Pengguna Microsoft Office
Untuk menjaga keamanan sistem Office, pengguna disarankan melakukan langkah berikut secara berurutan:
- Konfirmasi bahwa Office yang digunakan versi 2021 ke atas, lalu restart aplikasi untuk mengaktifkan perlindungan server-side.
- Untuk Office versi 2016 dan 2019, segera unduh dan pasang pembaruan keamanan terbaru yang dirilis Microsoft.
- Terapkan solusi sementara berbasis registry yang disediakan Microsoft guna mengurangi risiko sebelum patch resmi terpasang.
- Waspadai dokumen Office dari sumber tidak dikenal karena eksploitasi memerlukan interaksi membuka file berbahaya secara langsung.
Microsoft menegaskan bahwa fitur Preview Pane Office bukan vektor serangan, sehingga pengguna tidak perlu takut membuka file berbahaya dalam modus pratinjau. Ini mengurangi risiko bagi pengguna yang sering meninjau dokumen tanpa membuka secara langsung.
Pentingnya Perlindungan dan Patching Rutin
Adanya patch darurat ini menunjukkan pentingnya penerapan update keamanan secara cepat serta kesadaran oleh pengguna untuk selalu menjaga aplikasi mereka tetap terbaru. Serangan zero-day menjadi tantangan serius bagi keamanan siber karena eksploitasi terjadi sebelum patch tersedia. Tindakan proaktif seperti instalasi patch dan kebiasaan memeriksa sumber dokumen sangat menentukan tingkat perlindungan sistem.
Dengan demikian, respons cepat Microsoft dan ketaatan pengguna pada panduan patching menjadi kunci utama meminimalisir dampak dari kerentanan yang sedang aktif disalahgunakan ini. Selalu perbarui sistem Office dan ikuti rekomendasi keamanan untuk menjaga data dan perangkat tetap aman dari ancaman siber.
