Наприкінці січня 2026 року зафіксовано серію кібератак із використанням вразливості CVE-2026-21509 у продуктах Microsoft Office, про активну експлуатацію якої Microsoft повідомила 26 січня.
Вже через кілька днів у публічному доступі з’явилися DOC-документи з вбудованим експлойтом. Один із них стосувався консультацій Комітету постійних представників ЄС (COREPER) щодо ситуації в Україні. Інший файл розповсюджувався нібито від імені Укргідрометцентру та був надісланий більш ніж на 60 адрес центральних органів виконавчої влади України.
Відкриття зараженого документа призводить до встановлення з’єднання із зовнішнім ресурсом через WebDAV, завантаження шкідливого коду та запуску фреймворку COVENANT. Для управління використовується легітимне хмарне сховище Filen (filen.io). Також уражена система піддається COM hijacking та створенню запланованої задачі для забезпечення повторного запуску шкідливого коду.
Окрім атак на українські органи влади, виявлено ще три документи з аналогічним експлойтом, які застосовувалися проти організацій країн ЄС. В одному випадку домен, використаний для атаки, було зареєстровано в день її проведення.
З огляду на складність швидкого оновлення Microsoft Office в окремих середовищах, очікується зростання кількості атак із використанням цієї вразливості. Рекомендовано невідкладно застосувати заходи захисту, оприлюднені Microsoft, а також обмежити або взяти під моніторинг взаємодію з інфраструктурою Filen.
Чим видимість ІТ-активів може допомогти
Кейс із CVE-2026-21509 ще раз підтверджує, що швидкість реагування на публікацію вразливості має вирішальне значення. У ситуаціях, коли експлойт починає використовуватися буквально за кілька днів після офіційного повідомлення, організації повинні чітко розуміти:
- які версії Microsoft Office встановлені на робочих станціях,
- які пристрої залишаються неоновленими,
- де саме існує потенційна поверхня атаки.
У цьому контексті модуль Inventory в Axence nVision може відігравати важливу роль. Завдяки централізованій інвентаризації програмного забезпечення, аудиту встановлених версій, контролю інсталяцій та можливості масових дій через менеджер пакетів MS, ІТ-підрозділ отримує:
- повну картину розгортання Microsoft Office у мережі,
- контроль за процесом оновлення,
- історію змін та аудит програмного середовища.
Таким чином, хоча Inventory не запобігає експлуатації вразливості напряму, він дозволяє суттєво скоротити вікно експлойту та мінімізувати кількість потенційно скомпрометованих робочих станцій.
