Вразливість Microsoft Office використовують для атак з нібито попередженням Укргідрометцентру

За даними української команди реагування CERT-UA, виявлена на минулому тижні вразливість CVE-2026-21509, яка є помилкою обходу функцій безпеки в Microsoft Office, активно використовується для атак на користувачів в Україні та ЄС.

26 січня Microsoft розкрила CVE-2026-21509 разом із попередженням, що зловмисники можуть використовувати її в реальних умовах. Вже через три дні, 29 січня, в публічному доступі виявлено DOC-файл “Consultation_Topics_Ukraine(Final).doc”, який містив експлойт для згаданої вразливості та був присвячений консультаціям Комітету постійних представників при ЄС (COREPER) по ситуації в Україні. Метадані документу свідчать про те, що документ було створено 27.01.2026 о 07:43:00 (UTC), тобто, на наступний день після публікації згаданого сповіщення про вразливість від Microsoft.

Протягом того ж дня отримано повідомлення щодо розповсюдження, нібито від імені Укргідрометцентру, електронних листів із вкладенням у вигляді DOC-файлу “BULLETEN_H.doc”. Згаданий лист було відправлено на більше ніж 60 електронних адрес переважно центральних органів виконавчої влади України.

Аналіз виявив, що відкриття документу за допомогою програми Microsoft Office призводить до встановлення мережевого з’єднання із зовнішнім ресурсом з використанням протоколу WebDAV, подальшого завантаження файлу з програмним кодом, який призначено для завантаження та запуску виконуваного файлу.

Успішний запуск останнього призведе до створення на комп’ютері DLL-файлу “EhStoreShell.dll” (маскується під файл бібліотеки “Enhanced Storage Shell Extension”), файлу-зображення з шелкодом “SplashScreen.png”, зміни значення шляху в реєстрі Windows для CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} (реалізація COM hijacking) та створення запланованої задачі “OneDriveHealth”.

В останні дні січня 2026 року виявлено ще три документи з аналогічним експлойтом, який застосовувався для кібератак проти країн ЄС. В одному з випадків доменне ім’я, використане в атаці 30.01.2026, було зареєстроване в той же день. 

Хоча Microsoft вже випустила патчі, зокрема для старіших збірок Office, команда CERT-UA не надто оптимістично оцінює ситуацію з їхнім розповсюдженням. 

«Очевидно, що найближчим часом, зокрема через інерційність процесу або неможливість оновлення користувачами пакету Microsoft Office та/або використання рекомендованих механізмів захисту, кількість кібератак з використанням описаної вразливості почне зростати», — попереджає CERT-UA.

Щоб скоротити вірогідність успішних атак фахівці рекомендують невідкладно вжити заходів, наведених в публікації Microsoft, зокрема, в частині налаштування реєстру Windows.

Беручи до уваги той факт, що програмний засіб COVENANT, який застосовується хакерами під час здійснення кібератак, використовує інфраструктуру сервісу Filen, CERT-UA радить закрити та/або взяти під окремий моніторинг мережеву взаємодію з вузлами згаданого хмарного сховища (перелік доменних імен та IP-адрес наведено в розділі індикаторів). Державні організації автоматично отримують відповідний захист.

Нагадаємо, що за даними CERT-UA, хакери активно маскуються під українські благодійні фонди.