21.9 C
Warszawa
niedziela, 19 lipca, 2026
- Reklama -

Krytyczna podatność w Microsoft Office

W dniu 26 stycznia 2026 r. firma Microsoft poinformowała o wykryciu nowej podatności w pakiecie Microsoft Office oznaczonej jako CVE-2026-21509. Już cztery dni później analitycy DKWOC potwierdzili jej aktywne wykorzystanie w ukierunkowanej kampanii phishingowej wymierzonej w instytucje krajowe i zagraniczne, m.in. w Rumunia, Ukraina oraz Słowacja. Według ustaleń, aktor rozpoczął prace nad uzbrojeniem złośliwych dokumentów już dzień po publicznym ujawnieniu luki.

Kampania o wysokim poziomie zaawansowania

Pomimo szerokiego zasięgu, działania miały charakter precyzyjnie ukierunkowany. Atakujący wykorzystywał przejęte konta e-mail instytucji państwowych z Europy Środkowo-Wschodniej, zwiększając wiarygodność wiadomości phishingowych. Treści były dopasowane do profilu zarówno nadawcy, jak i odbiorcy, co znacząco ograniczało ryzyko wykrycia.

Tożsama aktywność została 1 lutego opisana przez CERT-UA, który powiązał ją z klastrem UAC-0001, łączonym z grupą APT28. DKWOC monitoruje tego adwersarza jako zbiór aktywności „Crafty Leshy”.

Na czym polega podatność CVE-2026-21509?

Podatność wynika z nieprawidłowej walidacji danych wejściowych wykorzystywanych przez Microsoft Office przy podejmowaniu decyzji bezpieczeństwa (CWE-807 – Reliance on Untrusted Inputs in a Security Decision).

Wskaźnik zagrożenia oceniono na 7.8/10 w skali CVSS 3.1, co oznacza wysoki poziom ryzyka.

Mechanizm ataku pozwala na obejście zabezpieczeń Compatibility Flags (tzw. „kill bits”) i wymuszenie załadowania obiektu COM osadzonego w dokumencie Office. Do skutecznej infekcji wystarczy otwarcie złośliwego pliku (podatność nie działa w trybie podglądu, np. z poziomu Outlooka).

Techniczny przebieg ataku

Analiza wykazała wieloetapowy łańcuch infekcji:

  • osadzenie w dokumencie struktury OLE inicjującej COM Shell.Explorer.1,
  • pobranie i wykonanie pliku .lnk z zasobu WebDAV,
  • uruchomienie polecenia rundll32 i załadowanie złośliwej biblioteki DLL z lokalizacji zdalnej,
  • zastosowanie techniki COM Hijacking w celu utrzymania persystencji,
  • utworzenie zaplanowanego zadania systemowego wymuszającego restart procesu explorer.exe,
  • wykorzystanie steganografii (LSB) do ukrycia ładunku w pliku graficznym,
  • uruchomienie implantu Grunt (Covenant C2) komunikującego się z wykorzystaniem serwisu chmurowego.

Eksperci wskazują, że operator testował również alternatywne scenariusze, w tym możliwe łączenie podatności z CVE-2021-40444.

Kogo dotyczy zagrożenie?

Podatność obejmuje pliki pakietu Microsoft Office wykorzystujące mechanizmy COM.

DKWOC zaleca użytkownikom wersji Office 2016 i 2019 niezwłoczne zainstalowanie aktualizacji bezpieczeństwa.

Zgodnie z komunikatem Microsoft, użytkownicy wersji 2021 i nowszych objęci są ochroną po stronie usługi, jednak wymagane jest ponowne uruchomienie aplikacji.

Zalecenia bezpieczeństwa

Eksperci rekomendują:

  • weryfikację komunikacji sieciowej pod kątem wskazanych domen IoC,
  • przeszukanie systemów pocztowych z wykorzystaniem reguł YARA,
  • zgłaszanie potwierdzonych incydentów do właściwego CSIRT poziomu krajowego oraz DKWOC,
  • ograniczenie uprawnień użytkowników oraz monitorowanie modyfikacji kluczy rejestru związanych z CLSID.

Podsumowanie

Przypadek CVE-2026-21509 pokazuje, jak szybko zaawansowany aktor państwowy lub powiązany z nim podmiot jest w stanie wykorzystać świeżo ujawnioną podatność do prowadzenia skutecznych, ukierunkowanych operacji.

Przeczytaj także: Skoordynowany cyberatak na sektor energii w Polsce >>

Eksperci podkreślają, że czas reakcji na publikację aktualizacji bezpieczeństwa ma kluczowe znaczenie dla ograniczenia ryzyka kompromitacji infrastruktury.

Źródło: DKWOC

Artykuły powiązane

- Reklama -
- Reklama -

Aktualności

Trwają przygotowania do uruchomienia Centrum Bezpieczeństwa Morskiego

0
W Morskim Oddziale Straży Granicznej rozpoczęły się przygotowania do uruchomienia Centrum Bezpieczeństwa Morskiego. Nowa struktura będzie odpowiadać za całodobowy monitoring sytuacji na polskich obszarach...

IX Międzynarodowy Kongres SAFE PLACE i II Warsztaty OLiOC – wakacyjna pula biletów na wyjątkowe wydarzenie!

0
W dniach 25-27 listopada 2026 r. w Hotelu Windsor w Jachrance k. Warszawy odbędzie się IX edycja Międzynarodowego Kongresu SAFE PLACE oraz II Warsztaty...

Międzynarodowa akcja przeciwko wykorzystywaniu seksualnemu dzieci

0
Funkcjonariusze Centralnego Biura Zwalczania Cyberprzestępczości wzięli udział w międzynarodowej operacji „TORCH”, wymierzonej w osoby korzystające z materiałów przedstawiających seksualne wykorzystywanie dzieci (CSAM). Działania prowadzone...

DKWOC rozwija system oceny kompetencji żołnierzy

0
Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni rozwija Wojskowy Kwestionariusz Kompetencji (WKK) – nowoczesną platformę informatyczną, która ma wspierać ocenę kompetencji, kwalifikację kandydatów oraz planowanie rozwoju...

CBA zatrzymało funkcjonariusza Służby Więziennej

0
Funkcjonariusze Centralnego Biura Antykorupcyjnego zatrzymali kolejnego funkcjonariusza Służby Więziennej w śledztwie dotyczącym przyjmowania korzyści majątkowych oraz naruszania przepisów prawa. Postępowanie prowadzi Delegatura CBA w...