Microsoft 26. janvārī izlaida ārkārtas, ārpus joslas pieejamu ielāpu Microsoft Office nulles dienas atjauninājumam, un Ukrainas nacionālais CERT ziņo, ka uzbrucēji ātri rīkojās, lai to pārvērstu par ieroci. Šis gadījums atgādina, cik šaura var būt robeža starp "ievainojamības publisku atzīšanu" un "kampaņu aktīvu izplatību", īpaši, ja mērķi ir valdības un politikas organizācijas.
Visnoderīgākais veids, kā lasīt šādus incidentus, nav kā atsevišķu Office kļūdu, bet gan kā pazīstamu rīcības plānu: reālistiski tematiski dokumenti, piegāde atlasītam adresātu sarakstam un daudzpakāpju izpildes ķēde, kas cenšas iekļauties normālā Windows darbībā.
Kas tika ziņots par CVE-2026-21509
Saskaņā ar BleepingComputer rakstu un CERT-UA ziņojumu, galvenie laika skalas punkti izskatās šādi:
- 26. janvāris:Microsoft izdod ārkārtas atjauninājumu ārpus joslas un atzīmēCVE-2026-21509kānulles dienasaktīvas ekspluatācijas apstākļos.
- Dažu dienu laikā:CERT-UA atklāj ļaunprātīgus Word dokumentus, kas izmanto šo ievainojamību.
- Šie ēsmiņi nav vispārīgs surogātpasts. Atsauce uz vienu tēmu.ES Pastāvīgo pārstāvju komitejas (COREPER) konsultācijassaistībā ar Ukrainu, un citi ziņojumi atdarinājaUkrainas Hidrometeoroloģijas centrs, dodoties uz desmitiem ar valdību saistītu adrešu.
CERT-UA attiecināja darbību uzAPT28(pazīstams arī kāFancy Bear/Sofacy, publiskajā ziņošanā saistīts ar Krievijas GRU).
Secinājums: tiklīdz tiek izlaists ielāps zināmai nulles dienas problēmai, aizstāvji to bieži uztver kā "briesmas ir beigušās". Patiesībā šis brīdis var būt arī uzbrucējam signāls, ka ekspluatācijas detaļas drīz kļūs vieglāk reproducēt, kopīgot vai reversēt.
Kā Office uzbrukumi joprojām darbojas 2026. gadā: dokumentu ēsmas un uzticības robežas
Biroja dokumenti joprojām ir efektīvs piegādes līdzeklis, jo tie atrodas ideālā vietā:
- Tie ir normāla uzņēmējdarbības un valdības darbplūsmas sastāvdaļa.
- Lietotāji ir pieraduši tos ātri atvērt.
- Tajos var būt saturs, kas izskatās autoritatīvs (sanāksmju darba kārtības, politikas projekti, iekšējās piezīmes).
Mūsdienu Office aizsardzības līdzekļi ir padarījuši vienkāršus uz makro balstītus uzbrukumus mazāk uzticamus daudzās vidēs, tāpēc kampaņas bieži vien pāriet uz citām uzticamības robežām:
- Parsēšanas/renderēšanas kļūdu izmantošanakas aktivizējas atvēršanas vai priekšskatīšanas laikā.
- Tīkla iespējotu funkciju ļaunprātīga izmantošana(piemēram, attālinātas veidnes, WebDAV vai ārēja satura ielāde), lai lejupielādētu otrās pakāpes vērtumus.
- Izmantojot Windows komponentus(COM objekti, ieplānotie uzdevumi, DLL meklēšanas secība), lai saglabātu vai izpildītu.
Šeit sniegtajā ziņojumā piegādes ķēde ietverWebDAV balstīta lejupielādesoli un pēc tam “dzīvojot no zemes” stila paņēmienus (COM nolaupīšana, ieplānotie uzdevumi), kas cenšas izskatīties pēc normālas sistēmas uzvedības.
CERT-UA aprakstītā izpildes ķēde (un kāpēc to ir grūti pamanīt)
BleepingComputer apkopo CERT-UA atklājumus kā daudzpakāpju ķēdi, kas ietver:
- WebDAVlejupielādes darbība
- COM nolaupīšana(veids, kā novirzīt likumīga COM objekta ielādi uzbrucēja kontrolētam kodam)
- Ļaunprātīga DLL ar nosaukumuEhStoreShell.dll
- Apvalka kods, kas paslēpts attēla failā (nosauktsSākuma ekrāns.png)
- Ieplānots uzdevums (ziņots kāOneDriveHealth), kas palīdz veicināt izpildi un neatlaidību
Pat neatkārtojot precīzas tehniskās darbības, jūs varat redzēt stratēģiju:
- Nenometiet nevienu acīmredzamu EXE failu un nepalaidiet to.
- Saskaņojieties ar Windows konvencijām (DLL, ieplānotie uzdevumi, Explorer restartēšana).
- Lieciet “interesantajai” slodzei parādīties vēlu (apvalka kods attēlā, ietvars iestudēts vēlāk).
Šis stils ir vērtīgs uzbrucējiem, jo tas izjauc vienkāršotas aizsardzības metodes, kas koncentrējas tikai uz failu paplašinājumiem vai nepārprotami ļaunprātīgu izpildāmo failu atrašanu.
Kāpēc “ātra ielāpu ieviešana” ir nepieciešama, bet nepietiekama
Ir vilinoši samazināt reakciju uz “uzlikt ielāpu”, jo tā joprojām ir galvenā darbība. Taču reālā organizācijā ielāpu uzlikšanai ir berze:
- daži galapunkti ir bezsaistē vai nepārvaldīti
- dažas uzņēmējdarbībai kritiski svarīgas sistēmas tiek pārstartētas lēni
- daži lietotāji patur lietojumprogrammas atvērtas, neļaujot instalēt atjauninājumus
Šī kampaņa ilustrē, kāpēc slāņveida kontrole ir svarīga:
- Aizsargāta skata/tīmekļa preču zīmes aizsardzības:Microsoft ir ieguldījis līdzekļus, lai apturētu "failu no interneta" uzvedību kā uzticamus dokumentus. Tas palīdz tikai tad, ja failam ir pareizie izcelsmes marķieri un lietotāji tos nevar viegli apiet.
- Izejas uzraudzība:CERT-UA atzīmēja izmantošanuFilen (filen.io)kā komandu un kontroles infrastruktūra. Pat ja nevarat pilnībā bloķēt mākoņpakalpojumus, neparastu galapunktu un modeļu novērošana var sniegt noteikšanas ceļu, ja galapunktu indikatori netiek pamanīti.
- Privilēģiju un lietojumprogrammu kontrole:Jo vairāk jūs varat ierobežot to, ko Office un saistītie procesi var ģenerēt vai ielādēt (īpaši augsta riska nodaļās), jo vairāk jūs sašaurināsiet uzbrucēja iespējas.
Citiem vārdiem sakot: ielāpu ieviešana aizver priekšējās durvis, bet spējīgs dalībnieks bieži vien joprojām izmēģina logus un sānu durvis, līdz sasniedz vienu ierīci, kas kavējas ar atjaunināšanu.
Ko aizstāvji var darīt nekavējoties (praktiski, nevis panikā)
Ja atrodaties organizācijā, kas plaši izmanto Office, darbības, kas parasti atmaksājas, ir garlaicīgas un izmērāmas:
- Apstipriniet plākstera pārklājumuOffice 2016/2019/LTSC variantiem un Microsoft 365 lietotnēm visos galapunktos.
- Nepieciešama lietojumprogrammu restartēšanakur Microsoft atjauninājumu modelim tie ir nepieciešami, lai labojums stātos spēkā.
- Meklējiet anomālus ieplānotos uzdevumus(īpaši tādus, kas atdarina likumīgu produktu nosaukumus) un neparastus Explorer restartēšanas modeļus galapunktos, kas atvēra nesenus ārējos dokumentus.
- Pārskatīt WebDAV ekspozīcijuun politika. Ja WebDAV nav nepieciešams, atspējojiet to vai ierobežojiet to. Ja tas ir nepieciešams, koncentrējieties uz uzraudzību un atļaušanas sarakstu.
- Pievienot noteikšanu zināmiem IOCno CERT-UA ziņojuma kā īstermiņa pasākumu un laika gaitā pārvērst tos uz uzvedību balstītos noteikumos.
Neviens no tiem nav perfekts, taču kopā tie pārvērš “viens lietotājs atvēra vienu failu” par notikumu, kas, visticamāk, tiks ierobežots.
Kāpēc tas ir svarīgi arī ārpus Ukrainas
CERT-UA veiktā izmeklēšana liecināja, ka mērķēšanai tika izmantoti papildu dokumenti.ES bāzētas organizācijas, ne tikai Ukrainas vienības. Tas atbilst tam, cik plaši izplatās ģeopolitiski motivētas kampaņas:
- Sāciet ar acīmredzamākajiem mērķiem.
- Atkārtoti izmantot infrastruktūru un rīkus pret blakus esošajām grupām (partneriem, iestādēm, starptautiskām organizācijām).
- Atkārtojiet, pamatojoties uz to, kas darbojas.
Aizstāvjiem ārpus tiešās konflikta zonas tā ir galvenā mācība: tā pati uzbrukumu ķēde var parādīties jūsu vidē, pat ja jūs neesat "galvenais mērķis".
Apakšējā līnija
Nulles dienas ielāps nebeidz stāstu; tas bieži vien aizsāk sacensības. Kad tiek apstiprināts, ka ievainojamība tiek aktīvi izmantota, kritiskais periods ir pirmās dienas un nedēļas pēc atklāšanas — kad uzbrucēji atjaunina ēsmas, bet aizstāvji joprojām cenšas sasniegt pilnīgu ielāpa pārklājumu.
Latviešu valoda
English
العربية
Čeština
Dansk
Nederlands
Eesti
Suomi
Français
Deutsch
Ελληνικά
Magyar
Italiano
日本語
한국어
Lietuvių kalba
Norsk bokmål
Polski
Português
Română
Русский
Slovenčina
Slovenščina
Español
Svenska
Türkçe