- WIADOMOŚCI
Luka w Microsoft Office wykorzystana do szpiegostwa
Ukraiński CERT ostrzega przed aktywnie wykorzystywaną podatnością w pakiecie Microsoft Office. W tle kampania szpiegowska skierowana na Ukrainę i Europę Środkowo-Wschodnią.
Autor. Ed Hardie/Unsplash
Ukraiński CERT opisał aktywnie wykorzystywaną podatność w pakiecie Microsoft Office, oznaczoną jako CVE-2026-21509. Podatność została sklasyfikowana z wysokim wynikiem 7.8 w skali CVSS. Pomimo opublikowania przez firmę Microsoft aktualizacji dla dotkniętych pakietów, wiele instancji wciąż pozostaje nieaktualnych, a przez to nadal podatnych.
Opis podatności
Podatność umożliwia pominięcie mechanizmów zabezpieczeń OLE/COM w różnych wersjach Office’a, w tym Microsoft 365 Apps for Enterprise, Office LTSC oraz klasycznych instalacjach Office 2016 i Office 2019. Jak twierdzi CERT-UA, podatność ta była aktywnie wykorzystywana w rzeczywistych atakach przez grupę APT28 (Fancy Bear, Sofacy, UAC-0001), powiązaną z rosyjskimi służbami wywiadowczymi.
UAC-0001 (aka #APT28 or #FancyBear) exploits CVE-2026-21509 to target Ukraine and EU with COVENANT framework. Details (UA only): https://t.co/r847swosEX pic.twitter.com/oYPBtsn0cD
— CERT-UA (@_CERT_UA) February 2, 2026
Zgodnie z informacjami CERT-UA, pierwsze aktywne wykorzystanie luki odnotowano 29 stycznia 2026 roku, zaledwie trzy dni po publikacji i wdrożeniu awaryjnej aktualizacji przez Microsoft. Analiza metadanych wskazuje, że atakowane pliki, jak np. „Consultation_Topics_Ukraine(Final).doc”, zawierające treści polityczne związane z konsultacjami COREPER, zostały utworzone i rozpowszechnione już 27 stycznia, co sugeruje szybkie przygotowanie narzędzi przez atakujących.
Mechanizm ataku i dotknięte wersje
Mechanizm ataku:
- Atakujący tworzy specjalnie spreparowany plik Office;
- Użytkownik jest nakłaniany do otwarcia pliku (wiarygodnie wyglądające dokumenty Word/RTF, dostosowane do lokalnego języka);
- Po otwarciu podatność omija zabezpieczenia OLE/COM w Microsoft 365 i Office, umożliwia zdalne uruchomienie kodu. Atakujący wykorzystują dropper DLL, który następnie inicjuje malware.
Wersje objęte podatnością:
- Microsoft Office 2016;
- Microsoft Office 2019;
- Microsoft Office LTSC 2021;
- Microsoft Office LTSC 2024;
- Microsoft 365 Apps for Enterprise.
Zaleca się jak najszybszą aktualizację podatnych wersji. Długoterminowo warto rozważyć wdrożenie stałego monitorowania podatności w systemach.
Cele w Ukrainie i Europie
Ofiarami ataków padły przede wszystkim instytucje państwowe i organizacje o znaczeniu strategicznym w Europie Środkowo-Wschodniej, w tym jednostki rządowe i administracyjne Ukrainy, Słowacji oraz Rumunii.
W jednym z odkrytych przypadków ponad 60 adresów e-mail należących do centralnych organów wykonawczych Ukrainy otrzymało spreparowany dokument podszywający się pod komunikat miejscowego centrum hydrometeorologicznego. Profilowanie wiadomości oraz wykorzystanie lokalnych języków wskazuje na intencje szpiegowskie ukierunkowane na pozyskiwanie informacji o charakterze politycznym i strategicznym.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?