W dniu 26 stycznia 2026 r. firma Microsoft poinformowała o wykryciu nowej podatności w pakiecie Microsoft Office oznaczonej jako CVE-2026-21509. Już cztery dni później analitycy DKWOC potwierdzili jej aktywne wykorzystanie w ukierunkowanej kampanii phishingowej wymierzonej w instytucje krajowe i zagraniczne, m.in. w Rumunia, Ukraina oraz Słowacja. Według ustaleń, aktor rozpoczął prace nad uzbrojeniem złośliwych dokumentów już dzień po publicznym ujawnieniu luki.
Kampania o wysokim poziomie zaawansowania
Pomimo szerokiego zasięgu, działania miały charakter precyzyjnie ukierunkowany. Atakujący wykorzystywał przejęte konta e-mail instytucji państwowych z Europy Środkowo-Wschodniej, zwiększając wiarygodność wiadomości phishingowych. Treści były dopasowane do profilu zarówno nadawcy, jak i odbiorcy, co znacząco ograniczało ryzyko wykrycia.
Tożsama aktywność została 1 lutego opisana przez CERT-UA, który powiązał ją z klastrem UAC-0001, łączonym z grupą APT28. DKWOC monitoruje tego adwersarza jako zbiór aktywności „Crafty Leshy”.
Na czym polega podatność CVE-2026-21509?
Podatność wynika z nieprawidłowej walidacji danych wejściowych wykorzystywanych przez Microsoft Office przy podejmowaniu decyzji bezpieczeństwa (CWE-807 – Reliance on Untrusted Inputs in a Security Decision).
Wskaźnik zagrożenia oceniono na 7.8/10 w skali CVSS 3.1, co oznacza wysoki poziom ryzyka.
Mechanizm ataku pozwala na obejście zabezpieczeń Compatibility Flags (tzw. „kill bits”) i wymuszenie załadowania obiektu COM osadzonego w dokumencie Office. Do skutecznej infekcji wystarczy otwarcie złośliwego pliku (podatność nie działa w trybie podglądu, np. z poziomu Outlooka).
Techniczny przebieg ataku
Analiza wykazała wieloetapowy łańcuch infekcji:
- osadzenie w dokumencie struktury OLE inicjującej COM Shell.Explorer.1,
- pobranie i wykonanie pliku .lnk z zasobu WebDAV,
- uruchomienie polecenia rundll32 i załadowanie złośliwej biblioteki DLL z lokalizacji zdalnej,
- zastosowanie techniki COM Hijacking w celu utrzymania persystencji,
- utworzenie zaplanowanego zadania systemowego wymuszającego restart procesu explorer.exe,
- wykorzystanie steganografii (LSB) do ukrycia ładunku w pliku graficznym,
- uruchomienie implantu Grunt (Covenant C2) komunikującego się z wykorzystaniem serwisu chmurowego.
Eksperci wskazują, że operator testował również alternatywne scenariusze, w tym możliwe łączenie podatności z CVE-2021-40444.
Kogo dotyczy zagrożenie?
Podatność obejmuje pliki pakietu Microsoft Office wykorzystujące mechanizmy COM.
DKWOC zaleca użytkownikom wersji Office 2016 i 2019 niezwłoczne zainstalowanie aktualizacji bezpieczeństwa.
Zgodnie z komunikatem Microsoft, użytkownicy wersji 2021 i nowszych objęci są ochroną po stronie usługi, jednak wymagane jest ponowne uruchomienie aplikacji.
Zalecenia bezpieczeństwa
Eksperci rekomendują:
- weryfikację komunikacji sieciowej pod kątem wskazanych domen IoC,
- przeszukanie systemów pocztowych z wykorzystaniem reguł YARA,
- zgłaszanie potwierdzonych incydentów do właściwego CSIRT poziomu krajowego oraz DKWOC,
- ograniczenie uprawnień użytkowników oraz monitorowanie modyfikacji kluczy rejestru związanych z CLSID.
Podsumowanie
Przypadek CVE-2026-21509 pokazuje, jak szybko zaawansowany aktor państwowy lub powiązany z nim podmiot jest w stanie wykorzystać świeżo ujawnioną podatność do prowadzenia skutecznych, ukierunkowanych operacji.
Przeczytaj także: Skoordynowany cyberatak na sektor energii w Polsce >>
Eksperci podkreślają, że czas reakcji na publikację aktualizacji bezpieczeństwa ma kluczowe znaczenie dla ograniczenia ryzyka kompromitacji infrastruktury.
Źródło: DKWOC













