ענקית הטכנולוגיה Microsoft (מיקרוסופט) שחררה במסגרת סבב עדכוני אבטחה מסיבי, סדרת תיקונים דחופים עבור פגיעויות אבטחה חמורות במיוחד המשפיעות על האפליקציות הפופולריות ביותר בחבילת האופיס הארגונית Outlook ו-Word.

פרצות אלו, המוגדרות ברמת חומרה "קריטית", מאפשרות לתוקפים חיצוניים להריץ קוד זדוני על גבי מחשבי הקצה של המשתמשים ולפתוח פתח להשתלטות מלאה על הרשת הארגונית.
השילוב ההנדסי בין מנוע רינדור הדואר של אאוטלוק לבין רכיבי התוכנה של וורד יצר חלון הזדמנויות מסוכן עבור האקרים, המנוצל לפעילות תקיפה אקטיבית.
המנגנון הטכני: פרצות מסוג Type Confusion וחלון הציפייה המקדים
הסיכון המרכזי בעדכון הנוכחי נובע משלוש פרצות אבטחה קריטיות המזוהות כ-CVE-2026-45456, CVE-2026-45458 ו-CVE-2026-47635:
- בלבול טיפוסים (Type Confusion): פגיעויות אלו נגרמות כתוצאה מניהול משאבים שגוי בזיכרון של Microsoft Office, שבו המערכת ניגשת לאובייקט חומרה מסוים תוך שימוש בטיפוס נתונים שאינו תואם (Incompatible type). חוסר תאימות זה מאפשר לתוקף לשבש את הקצאת הזיכרון ולהחליף רכיבי מערכת בקוד זדוני מטעמו.
- מתקפה ללא קליק (Zero-Click Vulnerability): נקודת התורפה המשמעותית ביותר היא שחלק מהפרצות הללו (כמו גם פרצת CVE-2026-40361 שהתגלתה לאחרונה) ניתנות להפעלה דרך חלון התצוגה המקדימה (Preview Pane) של גרסת Outlook הקלאסית.
- אין צורך באינטראקציה: מכיוון ש-Outlook משתמש באופן מובנה בחלק מפונקציות הליבה של Microsoft Word כדי לרנדר ולהציג את תוכן המייל, פשוט עצם הגעת המייל לתיבה ומעבר של המשתמש על פני ההודעה בחלון המקדים מספיקים כדי להפעיל את הקוד הזדוני, ללא צורך בפתיחת קובץ מצורף (Attachment) או לחיצה על קישורים פולשניים.
השלכות הפריצה ורמת הסיכון לארגון
הפרצות זכו לציון חומרה גבוה במיוחד של 8.4 במדד ה-CVSS הסטנדרטי.
הצלחה של תוקף בניצול אחת מהפגיעויות הללו על מערכת לא מוגנת עלולה להוביל לשורה של נזקים חמורים:
- הרצת קוד מרחוק (RCE): התוקף מסוגל להריץ פקודות ומניפולציות על תחנת העבודה מרחוק תחת הרשאות המשתמש הנוכחי במערכת.
- גניבת זהויות ואישורים (Credential Theft): שליפת סיסמאות שמורות, עוגיות דפדפן (Cookies) וטוקנים של גישה למערכות ענן ארגוניות.
- הדלפת נתונים וריגול: גישה מלאה לקבצים רגישים המאוחסנים על גבי המחשב, היסטוריית התכתבויות ומסמכים פנימיים.
- דלת אחורית (Lateral Movement): פתיחת נתיב קבוע (Backdoor) המאפשר לתוקף להחדיר נוזקות נוספות לרשת ולנוע באופן רוחבי כדי להשיג הרשאות מנהל מערכת (Domain Admin).
הנחיות הגנה וצעדי מניעה מומלצים
לאור העובדה שמדובר באפיק תקיפה פסיבי שאינו דורש טעות מצד העובד, על מנהלי אבטחת מידע ומשתמשי קצה לפעול בהקדם האפשרי:
- עדכון דחוף של חבילת Microsoft Office: יש להחיל באופן מיידי את עדכוני התוכנה (Patches) ששוחררו במסגרת ה-Patch Tuesday של חודש יוני 2026. יש לוודא כי העדכון הוחל על כלל תחנות הקצה בארגון (במיוחד עבור רכיבי Word ו-Outlook).
- נטרול זמני של ה-Preview Pane: כצעד מניעה זמני בארגונים שבהם לא ניתן לבצע עדכון מיידי, מומלץ לשקול את השבתת חלון התצוגה המקדימה האוטומטי ב-Outlook הקלאסי כדי לחסום את נתיב ההפעלה האוטומטי של הקוד.
- הקשחת מנגנוני סינון דואר: חיזוק מערכות ה-EDR וה-Email Gateway הארגוניות לצורך זיהוי וסינון של הודעות בעלות מאפייני קוד או מבני מסמכים חשודים לפני שהם מגיעים לתיבות הדואר של המשתמשים.





