Rosyjska grupa hakerska APT28 wykorzystała krytyczną lukę w zabezpieczeniach pakietu Microsoft Office zaledwie dwa dni po tym, jak Microsoft opublikował awaryjną łatkę. Podatność CVE-2026-21509, dotycząca technologii OLE, umożliwia obejście mechanizmów bezpieczeństwa i otwiera drogę do infekcji.
Podatność CVE-2026-21509, sklasyfikowana jako „security feature bypass” i oceniona na 7.8 w skali CVSS, dotyka szerokiego zakresu wersji pakietu Office, od Office 2016 po Microsoft 365 Apps for Enterprise. Problem wynika z technologii OLE, która pozwala na osadzanie obiektów z innych aplikacji w dokumentach. Mimo zastosowanych zabezpieczeń, takich jak Protected View czy blokowanie makr, CVE-2026-21509 pozwala na manipulację metadanymi dokumentu, co skutkuje uznaniem złośliwego obiektu za bezpieczny.
Luka ta nie umożliwia bezpośredniego wykonania kodu (RCE), ale stanowi poważne zagrożenie, ponieważ osłabia ostatnią barierę ochronną przed uruchomieniem złośliwego kodu osadzonego w dokumencie. Microsoft wydał łatkę 26 stycznia, jednak już 27 stycznia powstał pierwszy spreparowany dokument wykorzystujący tę podatność, co sugeruje, że exploit był gotowy jeszcze przed publikacją poprawki.
Kampania, nazwana przez badaczy z Zscaler ThreatLabz „Operation Neusploit”, jest z dużym prawdopodobieństwem przypisywana grupie APT28, powiązanej z rosyjskim wywiadem wojskowym GRU. Ataki wykorzystują dopracowane przynęty socjotechniczne, podszywając się pod oficjalną korespondencję instytucji rządowych. Wyróżniono dwa warianty ataku: MiniDoor, który kradnie wiadomości e-mail z Outlooka, oraz bardziej zaawansowany PixyNetLoader, zapewniający persystencję poprzez COM hijacking i wykorzystujący steganografię do ukrycia shellcode w pliku PNG.
Głównymi celami ataków są instytucje rządowe i dyplomatyczne w Ukrainie, Słowacji i Rumunii, a także sektory morski, transportowy i dyplomatyczny w co najmniej siedmiu krajach, w tym w Polsce. CERT-UA potwierdził wysyłkę złośliwych dokumentów do ponad 60 adresów ukraińskich organów władzy wykonawczej.
Eksperci podkreślają konieczność natychmiastowego aktualizowania oprogramowania. Aplikacje Microsoft 365 zazwyczaj aktualizują się automatycznie po restarcie, jednak starsze wersje Office wymagają ręcznej instalacji łatki. APT28 liczy na to, że wiele instytucji zignoruje poprawkę lub wdroży ją z opóźnieniem, co pozwala grupie na dalsze wykorzystywanie luki.
Agencja CISA wyznaczyła agencjom federalnym termin na aktualizację do 16 lutego, jednak szybkość, z jaką APT28 przygotowuje exploity (zaledwie dwa dni), sugeruje, że organizacje muszą traktować krytyczne łatki jako priorytet natychmiastowy. W kontekście cyberwojny, dokument Word może stanowić równie poważne zagrożenie, co tradycyjne środki ataku.
Źródło: https://spidersweb.pl/2026/02/wojna-rosja-kontra-microsoft.html
