Polskie wojsko ostrzega przed Microsoft Office. Jest aż tak źle
Luki bezpieczeństwa to wbrew pozorom dość powszechny problem wszystkich zaawansowanych systemów i aplikacji. Kluczowe jest jednak to, na co one pozwalają i w jaki sposób są wykorzystywane przez przestępców. W tym wypadku ostrzega przed nimi nawet wojsko, a dokładniej Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC).
Mowa tu o luce bezpieczeństwa w pakiecie Microsoft Office o numerze CVE-2026-21509, która została ogłoszona przez Microsoft 26 stycznia bieżącego roku. Problem w tym, że zgodnie z ustaleniami DKWOC już następnego dnia została ona wykorzystana do przeprowadzenia cyberataków.
Luka w Microsoft Office
Wartym zauważenia jest fakt, że wszystko tu wskazuje na działania wrogiego wywiadu, a nie klasycznych cyberprzestępców. Otóż ofiarami ataków padają konkretne instytucje państwowe. Agresorzy stawiają także nacisk na jakość, a nie ilość ataków. Do ich przeprowadzenia wykorzystywano skradzione adresy e-mail z różnych instytucji państwowych, a ich treść nie odbiegała jakościowo od oficjalnej komunikacji. Jak możemy przeczytać w komunikacie na stronie Wojska Polskiego:
Pomimo szerokiego zasięgu kampanii, działania adwersarza miały charakter ukierunkowany o czym świadczy precyzyjne typowanie instytucji, jak i konkretnych osób w ich strukturach. Na szczególną uwagę zasługuje fakt, iż w celu zwiększenia wiarygodności wiadomości phishingowych wykorzystano przejęte konta poczty elektronicznej instytucji państwowych z krajów Europy Środkowo-Wschodniej, (...)
Treści wiadomości były spójne z profilem działalności zarówno nadawcy, jak i odbiorcy. Uwzględniając powyższe fakty, należy ocenić, iż kampania została zrealizowana w sposób minimalizujący ryzyko wykrycia przez odbiorców symptomów ataku phishingowego.
Tu warto dodać, że podobne ostrzeżenie opublikowało także Ministerstwo Cyfryzacji. Jak można przeczytać na jego stronie:
Kilka dni po ujawnieniu nowej luki w Microsoft Office odnotowano jej aktywne wykorzystanie w ukierunkowanej kampanii phishingowej. Atak wymierzony był m.in. w instytucje publiczne w Europie Środkowo-Wschodniej, a samo otwarcie zainfekowanego dokumentu skutkowało uruchomieniem złośliwego oprogramowania.
Jak działa atak?
W dużym uproszczeniu luka CVE-2026-21509 pozwala złośliwemu dokumentowi ominąć zabezpieczenia Office i automatycznie uruchomić mechanizm pobierający malware z internetu, które zapewniało zdalny dostęp do zainfekowanego komputera. Tym samym wystarczy jedynie otworzyć zainfekowany dokument.
Co z łatką?
Oczywiście wraz z ogłoszeniem podatności Microsoft wypuścił także łatkę bezpieczeństwa. Problem w tym, że ta została aktywowana automatycznie po stronie usługi jedynie w przypadku Microsoft Office 2021 i nowszych. Użytkownicy wersji 2016 i 2019 muszą ręcznie zainstalować aktualizację bezpieczeństwa. I właśnie dlatego okazali się tak podatnym celem.
Jak przekonuje Wojsko Polskie, instalacja zabezpieczenia jest konieczna. Warto także pamiętać, że chociaż atak ten wymierzono konkretnie w instytucje państwowe, to cyberprzestępcy również mogą sięgnąć po tę lukę. Dlatego też użytkownicy prywatni również powinni zaktualizować swój pakiet biurowy.
