Rosyjska grupa hakerska APT28 wykorzystała krytyczną lukę w zabezpieczeniach pakietu Microsoft Office w ciągu zaledwie dwóch dni od wydania przez firmę Microsoft awaryjnej łatki. Podatność CVE-2026-21509, dotycząca technologii OLE, umożliwia obejście mechanizmów bezpieczeństwa i otwiera drogę do infekcji.
Podatność CVE-2026-21509, sklasyfikowana jako security feature bypass i oceniona na 7.8 w skali CVSS, dotyka szerokiego zakresu wersji pakietu Office, od Office 2016 po Microsoft 365 Apps for Enterprise. Problem leży w technologii OLE, która pozwala na osadzanie obiektów z innych aplikacji w dokumentach. Mimo zastosowanych przez Microsoft zabezpieczeń, takich jak Protected View czy blokowanie makr, CVE-2026-21509 pozwala na manipulację metadanymi dokumentu, co skutkuje uznaniem złośliwego obiektu za bezpieczny.
Luka ta nie umożliwia bezpośredniego wykonania kodu (RCE), ale stanowi poważne zagrożenie, ponieważ obchodzi ostatnią linię obrony przed uruchomieniem złośliwego kodu. Microsoft wydał łatkę awaryjną 26 stycznia, informując jednocześnie o trwających atakach. CISA dodała podatność do katalogu KEV, wyznaczając agencjom federalnym termin na aktualizację do 16 lutego.
Według analiz, pierwszy spreparowany dokument wykorzystujący lukę pojawił się w sieci 29 stycznia, jednak jego metadane wskazują na datę powstania 27 stycznia, czyli dzień po publikacji łatki przez Microsoft. Sugeruje to, że grupa APT28 posiadała gotowy exploit jeszcze przed wydaniem poprawki i czekała jedynie na potwierdzenie, że ich wektor ataku jest zgodny z załataną przez Microsoft podatnością.
Kampania, nazwana przez badaczy z Zscaler ThreatLabz Operation Neusploit, została z dużym prawdopodobieństwem przypisana grupie APT28, powiązanej z rosyjskim wywiadem wojskowym GRU. Grupa ta jest znana z agresywnych i szybkich działań, mających na celu wpływ, destabilizację i pozyskiwanie informacji strategicznych, co potwierdza charakterystykę Operation Neusploit.
Ataki wykorzystują dopracowane przynęty socjotechniczne, często lokalizowane językowo, a dokumenty imitują oficjalną korespondencję instytucji rządowych. Wyróżniono dwa warianty ataku: pierwszy, MiniDoor, kradnie wiadomości e-mail z Outlooka, a drugi, PixyNetLoader i Covenant Grunt, zapewnia persystencję systemu poprzez COM hijacking i wykorzystuje steganografię do ukrycia shellcode w pliku PNG, co utrudnia analizę.
Główne cele ataków to instytucje rządowe i dyplomatyczne w Ukrainie, Słowacji i Rumunii, a także sektory morski, transportowy i dyplomatyczny w co najmniej siedmiu krajach, w tym w Polsce. CERT-UA potwierdził wysyłkę złośliwych dokumentów do ponad 60 adresów ukraińskich organów władzy wykonawczej. Eksperci podkreślają konieczność natychmiastowego wdrażania krytycznych łatek, ponieważ APT28 potrzebuje zaledwie dwóch dni na przygotowanie działającego exploita.
Źródło: https://spidersweb.pl/2026/02/wojna-rosja-kontra-microsoft.html
