Microsoft a lansat patch-uri de securitate de urgență în afara programului obișnuit pe 26 ianuarie 2026, pentru o vulnerabilitate zero-day de severitate ridicată în Microsoft Office, pe care actorii malițioși au transformat-o în armă la câteva ore după divulgare. Vulnerabilitatea, identificată ca CVE-2026-21509, are un scor CVSS de 7.8 și permite atacatorilor să ocolească mecanismele de securitate OLE încorporate, concepute să blocheze controalele COM periculoase.
Echipa de Răspuns la Incidente Informatice a Ucrainei (CERT-UA) a avertizat pe 2 februarie că hackeri sponsorizați de statul rus, cunoscuți sub numele de APT28, au exploatat vulnerabilitatea pentru a viza agenții guvernamentale ucrainene și instituții ale Uniunii Europene cu documente compromise. Atacurile demonstrează fereastra îngustă de timp pe care o au organizațiile pentru a remedia vulnerabilitățile critice înainte ca actorii malițioși sofisticați să le incorporeze în campanii active.
Weaponizare rapidă
CERT-UA a descoperit un document Word malițios intitulat „Consultation_Topics_Ukraine(Final).doc” pe 29 ianuarie, ale cărui metadate dezvăluiau că atacatorii l-au creat pe 27 ianuarie—la doar o zi după dezvăluirea publică făcută de Microsoft. Documentul se prezenta drept materiale legate de consultările Comitetului Reprezentanților Permanenți pe lângă Uniunea Europeană privind situația Ucrainei.
În aceeași zi, atacatorii s-au dat drept Centrul Ucrainean de Hidrometereologie, trimițând e-mailuri de phishing cu un atașament numit „BULLETEN_H.doc” către peste 60 de adrese de e-mail aparținând agențiilor guvernamentale centrale executive ucrainene. Până la sfârșitul lunii ianuarie, CERT-UA a identificat trei documente malițioase suplimentare care vizau organizații din UE, cu cel puțin un domeniu de infrastructură de atac înregistrat pe 30 ianuarie—în aceeași zi în care a fost implementat.
Lanțul de atac tehnic
Când victimele deschid documentele capcană în Microsoft Office, exploit-ul stabilește conexiuni de rețea către resurse externe prin protocolul WebDAV, descărcând un fișier deghizat ca o scurtătură care conține cod malicios. Atacul valorifică tehnici de deturnare COM prin modificarea intrărilor din registrul Windows și creează o sarcină programată numită „OneDriveHealth” pentru persistență.
Payload-ul final este COVENANT, un framework post-exploatare care utilizează serviciul legitim de stocare în cloud Filen pentru comunicații de comandă și control—o abordare care ajută la evitarea detectării prin combinarea traficului malicios cu activitatea legitimă a serviciilor cloud.
Atenuare și remedieri
Agenția pentru Securitate Cibernetică și Securitatea Infrastructurii din SUA a adăugat CVE-2026-21509 în catalogul său de Vulnerabilități Exploatate Cunoscute, stabilind un termen limită de remediere pentru 16 februarie 2026 pentru agențiile federale. Microsoft a menționat că clienții care rulează Office 2021 și versiuni ulterioare sunt protejați automat printr-o modificare la nivel de serviciu după repornirea aplicațiilor, în timp ce utilizatorii de Office 2016 și 2019 trebuie să instaleze actualizări de securitate specifice sau să aplice măsuri de atenuare bazate pe registru.
„Având în vedere întârzierea probabilă (sau incapacitatea) utilizatorilor de a actualiza Microsoft Office sau de a aplica măsurile de securitate recomandate, se estimează că numărul atacurilor cibernetice care exploatează această vulnerabilitate va crește”, a avertizat CERT-UA.
Surse:
https://www.infosecurity-magazine.com/news/fancy-bear-exploits-office-flaw/
https://cybersecuritynews.com/microsoft-office-0-day-vulnerability-exploited/amp/