Microsoft bracht op 26 januari een noodpatch uit voor een zero-day-kwetsbaarheid in Microsoft Office, en volgens het Oekraïense nationale CERT hebben aanvallers deze snel misbruikt. Deze zaak laat zien hoe kort de periode kan zijn tussen het moment dat een kwetsbaarheid publiekelijk wordt erkend en het moment dat een aanval daadwerkelijk plaatsvindt, vooral wanneer de doelwitten overheids- en beleidsorganisaties zijn.
De meest nuttige manier om dit soort incidenten te interpreteren is niet als een geïsoleerde Office-bug, maar als een bekend patroon: documenten met een realistisch thema, verzending naar een zorgvuldig samengestelde lijst van ontvangers en een uitvoeringsketen in meerdere stappen die probeert op te gaan in het normale Windows-gedrag.
Wat werd er gemeld over CVE-2026-21509?
Volgens het artikel van BleepingComputer en de rapportage van CERT-UA zien de belangrijkste tijdlijnen er als volgt uit:
- 26 januari:Microsoft brengt een noodupdate uit die niet via het reguliere kanaal wordt verzonden en markeert daarmee de status van de update.CVE-2026-21509als eennul-dagonder actieve exploitatie.
- Binnen enkele dagen:CERT-UA detecteert kwaadwillende Word-documenten die misbruik maken van de kwetsbaarheid.
- De lokmiddelen zijn geen generieke spam. Eén thema waarnaar wordt verwezenEU COREPER-consultatiesgerelateerd aan Oekraïne, en andere berichten deden zich voor als deOekraïens Hydrometeorologisch Centrum, en wel naar tientallen adressen die aan de overheid zijn gelieerd.
CERT-UA schreef de activiteit toe aanAPT28(ook bekend alsFancy Bear/Sofa(in de publieke berichtgeving geassocieerd met de Russische GRU).
De conclusie: zodra er een patch verschijnt voor een bekende zero-day-vulnerabiliteit, beschouwen verdedigers dat vaak als "het gevaar geweken". In werkelijkheid kan dat moment echter ook een signaal zijn voor de aanvaller dat de details van de exploit binnenkort gemakkelijker te reproduceren, te delen of te reverse-engineeren zullen zijn.
Hoe Office-aanvallen in 2026 nog steeds werken: lokmiddelen op basis van documenten en vertrouwensgrenzen.
Kantoordocumenten blijven een zeer effectief communicatiemiddel omdat ze zich op een ideale locatie bevinden:
- Ze maken deel uit van de normale werkprocessen binnen het bedrijfsleven en de overheid.
- Gebruikers zijn eraan gewend ze snel te openen.
- Ze kunnen inhoud bevatten die gezaghebbend oogt (vergaderagenda's, beleidsvoorstellen, interne memo's).
Moderne Office-beveiligingsmaatregelen hebben eenvoudige macro-gebaseerde aanvallen in veel omgevingen minder betrouwbaar gemaakt, waardoor campagnes zich vaak verplaatsen naar andere vertrouwensgrenzen:
- Fouten in parsing/rendering misbruikendie wordt geactiveerd bij het openen of bij het bekijken van een voorbeeld.
- Misbruik maken van netwerkfuncties(zoals sjablonen op afstand, WebDAV of het ophalen van externe inhoud) om payloads van de tweede fase te downloaden.
- Gebruikmaken van Windows-componenten(COM-objecten, geplande taken, DLL-zoekvolgorde) om te bewaren of uit te voeren.
In de hier beschreven leveringsketen wordt het volgende bedoeld:WebDAV-gebaseerde downloadstap voor stap, en vervolgens technieken in de stijl van "leven van het land" (COM-kaping, geplande taken) die proberen te lijken op normaal systeemgedrag.
De uitvoeringsketen zoals beschreven door CERT-UA (en waarom deze moeilijk te herkennen is)
BleepingComputer vat de bevindingen van CERT-UA samen als een keten van meerdere stappen, waaronder:
- WebDAVdownloadgedrag
- COM-kaping(een manier om een legitieme COM-objectlading om te leiden naar code die door een aanvaller wordt beheerd)
- Een kwaadaardige DLL genaamdEhStoreShell.dll
- Shellcode verborgen in een afbeeldingsbestand (genaamdSplashScreen.png)
- Een geplande taak (gerapporteerd alsOneDriveHealth) dat helpt bij het activeren van de uitvoering en persistentie
Zelfs zonder de exacte technische stappen te herhalen, kun je de strategie zien:
- Sleep geen enkel overduidelijk EXE-bestand naar de computer en voer het niet uit.
- Integreer in de Windows-conventies (DLL's, geplande taken, herstarten van Verkenner).
- Zorg ervoor dat de "interessante" payload pas later verschijnt (shellcode in een image, framework later klaargezet).
Die stijl is waardevol voor aanvallers omdat hij simpele verdedigingsmechanismen verstoort die zich alleen richten op bestandsextensies of op het herkennen van duidelijk kwaadaardige uitvoerbare bestanden.
Waarom "snel repareren" noodzakelijk maar niet voldoende is.
Het is verleidelijk om de reactie te reduceren tot "de patch toepassen", en dat is nog steeds de belangrijkste actie. Maar in een echte organisatie brengt het toepassen van patches wrijving met zich mee:
- Sommige eindpunten zijn offline of worden niet beheerd.
- Sommige bedrijfskritieke systemen starten traag opnieuw op.
- Sommige gebruikers houden applicaties open, waardoor updates niet kunnen worden toegepast.
Deze campagne illustreert waarom gelaagde controlemechanismen belangrijk zijn:
- Bescherming van de beveiligde weergave / het webmerk:Microsoft heeft geïnvesteerd in maatregelen om te voorkomen dat "bestanden van internet" zich gedragen als vertrouwde documenten. Dat helpt alleen als het bestand de juiste herkomstmarkeringen krijgt en gebruikers die niet gemakkelijk kunnen omzeilen.
- Uitgangsbewaking:CERT-UA merkte op dat gebruik werd gemaakt vanFilen (filen.io)als command-and-control-infrastructuur. Zelfs als je cloudservices niet volledig kunt blokkeren, kan het observeren van ongebruikelijke eindpunten en patronen een detectiepad bieden wanneer indicatoren voor eindpunten over het hoofd worden gezien.
- Beheer van privileges en applicaties:Hoe meer je kunt beperken welke Office- en aanverwante processen kunnen starten of laden (vooral in afdelingen met een hoog risico), hoe kleiner de mogelijkheden voor een aanvaller worden.
Met andere woorden: het patchen sluit de voordeur, maar een bekwame hacker probeert vaak nog via ramen en zijdeuren binnen te komen totdat hij die ene machine vindt die te laat is met updaten.
Wat verdedigers direct kunnen doen (praktisch, geen paniek)
Als je in een organisatie werkt waar Office veelvuldig wordt gebruikt, zijn de acties die doorgaans resultaat opleveren saai en meetbaar:
- Controleer of de patch is geïnstalleerd.voor Office 2016/2019/LTSC-varianten en Microsoft 365-apps op alle eindpunten.
- Vereist dat de applicatie opnieuw wordt opgestart.waarbij Microsofts update-model ze nodig heeft om de oplossing te laten werken.
- Zoek naar afwijkende geplande taken(met name namen die legitieme productnamen nabootsen) en ongebruikelijke herstartpatronen van Explorer op eindpunten die recent externe documenten hebben geopend.
- Bekijk de WebDAV-blootstellingen beleid. Als WebDAV niet nodig is, schakel het dan uit of beperk het gebruik ervan. Als het wel nodig is, focus dan op monitoring en het toevoegen van toegestane gebruikers aan de lijst.
- Voeg detectie toe voor bekende IOC's.de bevindingen uit het CERT-UA-rapport als kortetermijnmaatregel gebruiken en deze vervolgens in de loop der tijd vertalen naar gedragsregels.
Geen van deze oplossingen is perfect, maar samen zorgen ze ervoor dat "één gebruiker opende één bestand" een gebeurtenis wordt die waarschijnlijk beter beheersbaar blijft.
Waarom dit van belang is, ook buiten Oekraïne
Uit het onderzoek van CERT-UA bleek dat er aanvullende documenten werden gebruikt om zich te richten op...EU-gevestigde organisatiesNiet alleen Oekraïense entiteiten. Dat is consistent met de manier waarop geopolitiek gemotiveerde campagnes zich opschalen:
- Begin met de meest voor de hand liggende doelen.
- Hergebruik infrastructuur en hulpmiddelen ten behoeve van aangrenzende groepen (partners, instellingen, internationale organisaties).
- Herhaal het proces op basis van wat werkt.
Voor verdedigers buiten de directe conflictzone is dat de belangrijkste les: dezelfde aanvalsketen kan ook in jouw omgeving opduiken, zelfs als je niet het "hoofddoelwit" bent.
Kortom
Een zero-day patch is niet het einde van het verhaal; vaak is het juist het begin van een race. Wanneer een kwetsbaarheid actief wordt misbruikt, is de kritieke periode de eerste dagen en weken na de ontdekking – wanneer aanvallers hun lokmiddelen bijwerken en verdedigers nog bezig zijn om alle patches te implementeren.
Nederlands
English
العربية
Čeština
Dansk
Eesti
Suomi
Français
Deutsch
Ελληνικά
Magyar
Italiano
日本語
한국어
Latviešu valoda
Lietuvių kalba
Norsk bokmål
Polski
Português
Română
Русский
Slovenčina
Slovenščina
Español
Svenska
Türkçe