Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni ostrzegło przed poważną luką bezpieczeństwa w popularnym pakiecie biurowym Microsoft Office. Podatność jest wykorzystywana przez cyberprzestępców do ataków na instytucje publiczne w Polsce oraz w innych krajach Europy Środkowo-Wschodniej. Wojsko apeluje o natychmiastową aktualizację oprogramowania.
Jak wskazano w komunikacie opublikowanym na platformie X, użytkownicy wersji Microsoft Office 2016 i 2019 powinni niezwłocznie zainstalować dostępne poprawki bezpieczeństwa. Po przeprowadzeniu aktualizacji konieczne jest ponowne uruchomienie pakietu.
Jak działa atak?
Z informacji przekazanych przez DKWOC wynika, że cyberprzestępcy przygotowują spreparowany plik – najczęściej dokument Word – i przesyłają go w wiadomości e-mail. Po jego otwarciu wykorzystywana jest luka w zabezpieczeniach Microsoft Office, co pozwala ominąć domyślne mechanizmy ochronne producenta.
W efekcie na urządzeniu ofiary instalowane jest złośliwe oprogramowanie. Może ono umożliwić przejęcie kontroli nad komputerem lub smartfonem, a także kradzież danych.
Co istotne, zainfekowane pliki wysyłane są z wcześniej przejętych kont e-mail pracowników instytucji państwowych z krajów regionu, w tym m.in. Ukrainy i Rumunii. Treść wiadomości jest dopasowana do profilu działalności nadawcy i odbiorcy, co zwiększa jej wiarygodność i utrudnia wykrycie oszustwa.
Precyzyjne typowanie ofiar
Wojska Obrony Cyberprzestrzeni podkreślają, że sprawcy starannie wybierają instytucje i konkretne osoby, których urządzenia chcą zinfiltrować. Dążą również do ograniczenia ryzyka wykrycia, aby utrzymać długotrwałą obecność w zainfekowanych systemach.
Pod koniec stycznia Microsoft poinformował, że podatność dotyczy następujących wersji:
-
Microsoft Office 2016, -
Microsoft Office 2019, -
Microsoft Office LTSC 2021, -
Microsoft Office LTSC 2024, -
Microsoft 365 Apps for Enterprise.
Kampania phishingowa i wątki szpiegowskie
O wykorzystaniu tej luki poinformował także ukraiński zespół reagowania na incydenty komputerowe CERT-UA. Pierwsze aktywne użycie podatności odnotowano 29 stycznia – trzy dni po publikacji i wdrożeniu awaryjnej aktualizacji przez Microsoft.
Według ustaleń cytowanych przez portal cyberdefence24.pl, podatność była wykorzystywana w rzeczywistych atakach przez grupę powiązaną z rosyjskimi służbami wywiadowczymi. Ofiarami stały się przede wszystkim instytucje państwowe oraz organizacje o znaczeniu strategicznym w Europie Środkowo-Wschodniej, w tym jednostki administracyjne Ukrainy, Słowacji i Rumunii.
Eksperci zwracają uwagę, że profilowanie wiadomości oraz używanie lokalnych języków może wskazywać na działania o charakterze szpiegowskim, ukierunkowane na pozyskiwanie informacji politycznych i strategicznych.
Wojsko apeluje do wszystkich użytkowników zagrożonych wersji Microsoft Office o pilne zainstalowanie aktualizacji bezpieczeństwa.