Gruparea Fancy Bear (APT28) a exploatat o vulnerabilitate recent dezvăluită din Microsoft Office în atacuri cibernetice care au vizat organizații din Ucraina și din Uniunea Europeană, potrivit Infosecurity Magazine. Avertizarea a fost publicată pe 2 februarie de CERT-UA, structura națională ucraineană de răspuns la incidente informatice.
Conform CERT-UA, atacatorii au folosit CVE-2026-21509, o vulnerabilitate cu severitate ridicată (scor CVSS 3.1 de 7,8) care afectează mai multe versiuni de Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 și Microsoft 365 Apps for Enterprise. Microsoft a făcut publică problema pe 26 ianuarie, descriind-o ca o „dependență excesivă de intrări neîncredere într-o decizie de securitate” în Microsoft Office, care poate permite ocolirea unor măsuri de protecție pentru OLE (Object Linking and Embedding, mecanism de integrare a obiectelor între aplicații) și COM (Component Object Model, tehnologie Windows pentru componente software).
CERT-UA spune că a identificat pe 29 ianuarie un fișier Word numit „Consultation_Topics_Ukraine(Final).doc”, care conținea cod de exploatare pentru CVE-2026-21509, iar metadatele indicau că documentul a fost creat în dimineața zilei de 27 ianuarie, la o zi după anunțul Microsoft. Documentul era construit în jurul unor „consultări” ale COREPER (Comitetul Reprezentanților Permanenți ai UE) privind situația din Ucraina, un detaliu care sugerează o tentativă de creștere a credibilității mesajului în fața țintelor instituționale.
Lanțul tehnic descris de CERT-UA pornește de la deschiderea documentului în Microsoft Office, care declanșează o conexiune către o resursă externă prin WebDAV (un protocol folosit pentru accesarea și gestionarea fișierelor la distanță), urmată de descărcarea unui fișier mascat ca scurtătură Windows (LNK) cu cod malițios. Într-un caz separat, CERT-UA a primit în aceeași zi rapoarte despre e-mailuri care pretindeau că provin de la Centrul Hidrometeorologic Ucrainean (UkrHMC) și care includeau atașamentul „BULLETEN_H.doc”; mesajele ar fi fost trimise către peste 60 de adrese, în principal din zona autorităților executive centrale ale Ucrainei.
„Având în vedere întârzierea probabilă (sau imposibilitatea) utilizatorilor de a actualiza Microsoft Office ori de a aplica măsurile de securitate recomandate, se așteaptă ca numărul atacurilor cibernetice care exploatează această vulnerabilitate să crească”, a notat CERT-UA.
După compromitere, analiza CERT-UA indică pași de persistență și execuție care includ crearea unei biblioteci DLL („EhStoreShell.dll”) camuflate ca extensie legitimă, generarea unui fișier imagine cu „shellcode” (cod injectat pentru execuție) și modificări în registrul Windows pentru deturnarea încărcării prin COM (așa-numitul „COM hijacking”). În final, pe sistem ar fi lansat Covenant, un cadru de comandă și control bazat pe .NET, folosit în mod legitim în exerciții de tip red teaming, dar reutilizat frecvent în atacuri. CERT-UA mai atrage atenția că infrastructura de comandă și control ar folosi serviciul de stocare Filen, recomandând blocarea sau monitorizarea atentă a conexiunilor către nodurile acestuia. În plus, la finalul lui ianuarie 2026 ar fi fost identificate încă trei documente cu același exploit, care au vizat organizații din state UE.
În privința măsurilor, CERT-UA îndeamnă la aplicarea recomandărilor din ghidul Microsoft, în special a celor legate de configurări în registrul Windows, iar Microsoft a confirmat că a observat exploatare „în mediul real”. Compania recomandă instalarea actualizărilor pentru Office 2016 și 2019, în timp ce pentru Office 2021 și versiunile ulterioare protecția ar fi activată automat printr-o schimbare „din partea serviciului”, cu condiția repornirii aplicațiilor Office. Detaliile tehnice și pașii de remediere sunt în avizul Microsoft, iar alerta CERT-UA a fost publicată la acest link: CERT-UA.
