В конце января 2026 зафиксирована серия кибератак с использованием уязвимости CVE-2026-21509 в продуктах Microsoft Office, об активной эксплуатации которой Microsoft сообщила 26 января.
Уже спустя несколько дней в публичном доступе появились документы DOC со встроенным эксплойтом. Один из них касался консультаций Комитета постоянных представителей ЕС (COREPER) по ситуации в Украине. Другой файл распространялся якобы от имени Укргидрометцентра и был направлен более чем на 60 адресов центральных органов исполнительной власти Украины.
Открытие зараженного документа приводит к соединению с внешним ресурсом через WebDAV, загрузке вредоносного кода и запуску фреймворка COVENANT. Для управления используется легитимное облачное хранилище Filen(filen.io). Также пораженная система подвергается COM hijacking и созданию запланированной задачи для обеспечения повторного запуска вредоносного кода.
Кроме атак на украинские органы власти, обнаружены еще три документа с аналогичным эксплойтом, которые применялись против организаций стран ЕС. В одном случае домен, использованный для атаки, был зарегистрирован в день ее проведения.
Учитывая сложность быстрого обновления Microsoft Office в отдельных средах, ожидается рост числа атак с использованием этой уязвимости. Рекомендуется безотлагательно применить меры защиты, обнародованные Microsoft, а также ограничить или взять под мониторинг взаимодействие с инфраструктурой Filen.
Чем видимость IT-активов может помочь
Кейс из CVE-2026-21509 еще раз подтверждает, что скорость реагирования на публикацию уязвимости имеет решающее значение. В ситуациях, когда эксплойт начинает использоваться буквально через несколько дней после официального сообщения, организации должны четко понимать:
- какие версии Microsoft Office установлены на рабочих станциях,
- какие устройства остаются необновленными,
- где именно существует потенциальная поверхность атаки.
В этом контексте модуль Inventory в Axence nVision может играть немаловажную роль. Благодаря централизованной инвентаризации программного обеспечения, аудиту установленных версий, контроля инсталляций и возможности массовых действий через менеджер пакетов MS, IT-подразделение получает:
- полную картину развертывания Microsoft Office в сети,
- контроль за процессом обновления,
- историю изменений и аудит программной среды
Таким образом, хотя Inventory не предотвращает эксплуатацию уязвимости напрямую, он позволяет существенно сократить окно эксплойта и минимизировать количество потенциально скомпрометированных рабочих станций.
