Иногда обновления выходят слишком поздно. Украинская команда реагирования на компьютерные инциденты CERT-UA сообщила, что российские хакерские группировки начали активно эксплуатировать уязвимость CVE-2026-21509 в Microsoft Office — всего через несколько дней после выхода экстренного патча от Microsoft.
Речь идёт о zero-day уязвимости, которая затрагивает сразу несколько версий Office и позволяет атакующим запускать вредоносный код при открытии обычного DOC-файла. Такие документы уже использовались в реальных фишинговых рассылках, в том числе под видом официальной переписки и служебных уведомлений.
По данным CERT-UA, вредоносные файлы распространялись через электронную почту и маскировались под документы, связанные с консультациями ЕС и государственными структурами. В некоторых случаях письма отправлялись от имени Украинского гидрометеорологического центра и были адресованы десяткам госучреждений.
Атаки связывают с группировкой APT28 (она же Fancy Bear), которую ранее уже неоднократно ассоциировали с операциями против государственных и международных организаций. Открытие заражённого документа запускает цепочку загрузки вредоносного ПО через WebDAV, после чего используется техника COM hijacking и подмена DLL-файлов.
Если говорить проще, вредоносный код незаметно встраивается в процесс Windows Explorer, загружается через подменённую библиотеку и активируется через запланированную задачу. В результате на компьютере запускается фреймворк COVENANT, который злоумышленники используют для удалённого управления системой.
Почему это опасно даже после выхода обновления?
Самый тревожный момент — метаданные обнаруженных документов указывают, что они были созданы уже после выпуска экстренного обновления Microsoft. Это означает, что атакующие очень быстро адаптировались и начали использовать уязвимость, рассчитывая на пользователей и организации, которые откладывают установку патчей.
Под угрозой находятся Microsoft Office 2016, 2019, Office LTSC 2021 и 2024, а также Microsoft 365 Apps. Microsoft рекомендует не только установить обновления, но и обязательно перезапустить приложения, иначе патч может не примениться полностью.
Отчасти ситуацию спасает режим Protected View в Office, который блокирует автоматическое открытие документов, загруженных из интернета. Однако практика показывает: в корпоративной среде такие ограничения часто отключают ради удобства.
К слову, похожие уязвимости уже не раз использовались в атаках через офисные документы — об этом я подробно писал в материале про уязвимости Windows и цепочки атак через стандартные компоненты системы.
Если обновление Office по каким-то причинам невозможно установить сразу, Microsoft рекомендует временно применить меры защиты через реестр Windows. Это не идеальное решение, но оно снижает риск компрометации до установки патча.
В целом история снова показывает: офисные документы остаются одним из самых эффективных инструментов атак, особенно когда речь идёт о целевых кампаниях. И да, даже свежие обновления не всегда спасают, если их игнорировать.
На фоне этого особенно актуально внимательно относиться к настройкам системы — в том числе к тем, которые связаны с безопасностью и конфиденциальностью. Я уже разбирал, какие параметры Windows могут работать не так, как ожидают пользователи, и почему их стоит проверять вручную.
Вывод здесь простой: если вы используете Microsoft Office — обновляйтесь сразу. А если работаете с документами из внешних источников, лучше лишний раз перепроверить файл, чем потом разбираться с последствиями.
Источник: BleepingComputer
