CVE-2026-21509 — 神龙十问 AI 深度分析摘要

🚨 **本质**：安全决策依赖不可信输入。<br>🔥 **后果**：本地攻击者可**绕过安全功能**，导致系统完整性受损。

🔍 **CWE-807**：安全决策依赖不可信输入。<br>⚠️ **缺陷点**：Office 在处理文件时，未对关键输入进行严格校验，导致逻辑绕过。

🏢 **厂商**：Microsoft。<br>💻 **产品**：**Microsoft 365 Apps for Enterprise** 及 Office 套件（Word/Excel/PowerPoint 等）。

👑 **权限**：本地用户权限。<br>📂 **数据**：高机密性 (C:H)、高完整性 (I:H)、高可用性 (A:H) 影响。可完全控制受影响组件。

🚶 **门槛低**：AV:L (本地), AC:L (低复杂度), PR:N (无需权限), UI:R (需用户交互)。<br>⚡ **关键**：用户只需**打开**恶意文件即可触发。

💣 **有现成 Exp**：<br>1. 📄 **PoC**：生成无害 DOCX 用于测试 EDR/AV 可见性。<br>2. ⚔️ **武器化**：存在针对 NFSv4.1 驱动 (`nfssvr.sys`) 的 RCE 利用代码。<br>3. 🛡️ **缓解脚本**：已有 PowerShell 检测与修复脚本。

🔎 **自查特征**：<br>1. 检查是否运行 **Microsoft 365 Apps for Enterprise**。<br>2. 扫描是否存在针对 OLE/COM 机制的异常文件打开行为。<br>3. 使用提供的 PowerShell 脚本进行环境检测。

🩹 **官方已修复**：<br>📅 **发布时间**：2026-01-26。<br>🔗 **链接**：Microsoft MSRC 已发布安全更新指南，建议立即应用补丁。

🛡️ **临时规避**：<br>1. 禁用 **OLE/COM** 相关功能（若业务允许）。<br>2. 部署 EDR 监控文件打开行为。<br>3. 使用提供的 PowerShell 脚本进行**检测与缓解**配置。

🔥 **紧急**：CVSS 评分高 (H 级影响)，且存在**在野利用**风险（武器化 Exp 已公开）。<br>🚀 **建议**：**立即**更新 Office 组件，并监控 NFS 驱动相关异常。