Rosyjscy hakerzy wykorzystują świeżo załataną lukę w Microsoft Office (CVE-2026-21509) w realnych atakach

Wprowadzenie do problemu / definicja luki

W końcówce stycznia 2026 Microsoft wypuścił pilną aktualizację „out-of-band” dla pakietu Office, oznaczając podatność CVE-2026-21509 jako aktywnie wykorzystywaną (0-day). Luka jest klasyfikowana jako security feature bypass — pozwala obejść mechanizmy ochronne Office (m.in. związane z OLE/COM) i doprowadzić do uruchomienia złośliwego łańcucha po otwarciu spreparowanego dokumentu przez użytkownika.

W skrócie

• Co się dzieje: CERT-UA raportuje kampanie z użyciem złośliwych plików DOC wykorzystujących CVE-2026-21509.
• Kto: aktywność przypisywana jest APT28 (Fancy Bear / Sofacy), wiązanemu z rosyjskim GRU.
• Jak: po otwarciu dokumentu uruchamia się łańcuch pobierania (m.in. WebDAV), a następnie mechanizmy typu COM hijacking, DLL + shellcode i trwałość przez Scheduled Task.
• Skala/ryzyko: dotyczy wielu wydań Office (w tym Microsoft 365), a warunkiem ataku jest User Execution (otwarcie pliku).

Kontekst / historia / powiązania

Z perspektywy obrony to klasyczny scenariusz: szybka „weaponizacja” luki po publikacji poprawki. Według CERT-UA, tematyka przynęty była dopasowana do odbiorców (m.in. korespondencja podszywająca się pod instytucje oraz dokumenty nawiązujące do konsultacji), a kampanie miały dotykać adresów powiązanych z administracją.

Warto też zwrócić uwagę na aspekt operacyjny po stronie Microsoft: CVE-2026-21509 została wypuszczona jako awaryjna poprawka OOB, a niezależne zespoły badawcze (np. Talos) gwałtownie opublikowały kontekst dot. detekcji i reguł ochronnych.

Analiza techniczna / szczegóły luki

Charakter podatności (security feature bypass)

Opis CVE w ekosystemie CVE/NVD sprowadza się do: „reliance on untrusted inputs in a security decision” w Microsoft Office, co umożliwia lokalne obejście zabezpieczeń. W praktyce oznacza to, iż Office może podjąć błędną decyzję bezpieczeństwa na podstawie danych, którym nie powinien ufać, i dopuścić do uruchomienia niebezpiecznego komponentu/ścieżki.

Wektor ataku i wymagania

• Wymagana interakcja użytkownika: atak zwykle wymaga nakłonienia ofiary do otwarcia spreparowanego pliku Office.
• Preview Pane: według dostępnych opracowań, nie jest to wektor wyzwalający podatność (to istotne w ocenie ryzyka w środowiskach, gdzie użytkownicy „podglądają” pliki).

Łańcuch infekcji obserwowany w kampaniach (CERT-UA)

BleepingComputer, streszczając raport CERT-UA, opisuje następujący łańcuch:

1. Ofiara otwiera złośliwy dokument DOC.
2. Dokument inicjuje pobranie kolejnych elementów przez WebDAV.
3. Następuje COM hijacking oraz uruchomienie złośliwej biblioteki DLL (EhStoreShell.dll).
4. DLL uruchamia shellcode ukryty w pliku graficznym (SplashScreen.png).
5. Utrwalanie/uruchamianie zapewnia Scheduled Task „OneDriveHealth”, m.in. przez restart procesu explorer.exe.

To ważne, bo pokazuje, iż sama podatność jest „wejściem” (initial access / execution), a adekwatne możliwości (post-exploitation) zależą od kolejnych etapów łańcucha.

Praktyczne konsekwencje / ryzyko

1. Ryzyko dla organizacji (zwłaszcza administracja/duże podmioty): kampanie ukierunkowane, wiarygodne przynęty i szybka adaptacja po poprawce oznaczają, iż „okno ekspozycji” jest realne choćby w dojrzałych środowiskach.
2. Łatwość dystrybucji: dokument Office jako nośnik + socjotechnika przez cały czas działają świetnie w realu; dodatkowo WebDAV bywa dozwolony lub trudniejszy do szybkiego „odcięcia” bez skutków ubocznych.
3. Eskalacja skutków: jeżeli łańcuch kończy się instalacją frameworków/loaderów i utrwaleniem, konsekwencje mogą obejmować kradzież danych, ruch lateralny i dalsze kampanie wewnątrz sieci (zależnie od payloadu).

Rekomendacje operacyjne / co zrobić teraz

1) Patching i weryfikacja stanu

• Wprowadź poprawki dla CVE-2026-21509 natychmiast (priorytet „pilny”, bo aktywna eksploatacja).
• Zidentyfikuj podatne instalacje Office w środowisku (w tym różne kanały dystrybucji Microsoft 365 Apps).

2) Twarde kontrole w warstwie e-mail i endpoint

• Wzmocnij polityki dla załączników Office (blokady typów, sandboxing, ostrzejsze reguły dla plików z Internetu).
• Monitoruj uruchomienia nietypowych komponentów i zachowania: tworzenie/wykonanie zadań harmonogramu (np. OneDriveHealth), ładowanie podejrzanych DLL (np. EhStoreShell.dll), anomalie wokół explorer.exe.

3) Detekcja sieciowa

Talos opublikował informacje o regułach detekcji (SNORT/ClamAV) pod kątem prób wykorzystania CVE-2026-21509 — o ile korzystasz z tych technologii, zaktualizuj sygnatury i rozważ hunt na ruch związany z łańcuchem pobierania.

4) Szybkie „zmniejszanie powierzchni”

• Ogranicz/monitoruj WebDAV tam, gdzie to możliwe (przynajmniej pod kątem nietypowych destynacji).
• Przypomnij użytkownikom: nie otwieramy dokumentów z nieoczekiwanych wiadomości, choćby jeżeli „wyglądają urzędowo” (w tej kampanii przynęty były dopasowane do kontekstu).

Różnice / porównania z innymi przypadkami

• To nie jest klasyczne RCE „bez kliknięcia”: w dostępnych opisach kluczowa jest interakcja użytkownika (otwarcie pliku), a Preview Pane ma nie być wektorem. To zmienia priorytety obrony: mniej „perymetr”, więcej „anti-phishing + kontrola plików + EDR”.
• Security feature bypass vs. memory corruption: takie luki często są zdradliwe, bo nie zawsze wyglądają jak „krytyczne RCE”, a mimo to umożliwiają uruchomienie skutecznych łańcuchów infekcji, gdy są połączone z dobrym delivery i post-exploitation.

Podsumowanie / najważniejsze wnioski

CVE-2026-21509 to przykład, jak gwałtownie aktorzy APT potrafią przejść od informacji o poprawce do skutecznych kampanii przeciw realnym celom. jeżeli w organizacji używacie Microsoft Office / Microsoft 365 Apps, traktujcie ten przypadek jako „patch now, verify now”: aktualizacja, weryfikacja skuteczności wdrożenia oraz polowanie na ślady łańcucha (WebDAV → COM hijacking → DLL/shellcode → Scheduled Task).

Źródła / bibliografia

1. BleepingComputer – kampanie wg CERT-UA, przypisanie do APT28, opis łańcucha infekcji. (BleepingComputer)
2. Cisco Talos – kontekst OOB update, CVSS i informacje o detekcjach (SNORT/ClamAV). (Cisco Talos Blog)
3. Sophos – opis obejścia mitigacji OLE, lista dotkniętych produktów i zalecenia. (SOPHOS)
4. Center for Internet Security (MS-ISAC Advisory 2026-007) – podsumowanie ryzyka i warunków eksploatacji. (CIS)
5. National Vulnerability Database – opis CVE, wektor/CVSS i odniesienia. (NVD)