Russische Hackers Misbruiken Microsoft Office-kwetsbaarheid

Het Computer Emergency Response Team van Oekraïne (CERT-UA) waarschuwt dat Russische hackers misbruik maken van CVE-2026-21509, een recent gepatchte kwetsbaarheid in diverse versies van Microsoft Office.

Op 26 januari bracht Microsoft een urgente beveiligingsupdate uit voor CVE-2026-21509, een actief misbruikte zero-day kwetsbaarheid. Slechts drie dagen later ontdekte CERT-UA dat schadelijke DOC-bestanden werden verspreid die de zwakte benutten. Deze bestanden waren gelinkt aan EU COREPER-vergaderingen in Oekraïne.

In andere gevallen werden e-mails verzonden die zich voordeden als afkomstig van het Oekraïense Hydrometeorologisch Centrum, gericht aan meer dan 60 overheidsadressen. De metadata van de documenten wijzen erop dat ze een dag na de update zijn gemaakt.

Volgens de Oekraïense CERT zijn deze aanvallen toe te schrijven aan APT28, ook bekend als Fancy Bear en Sofacy, verbonden met de Russische militaire inlichtingendienst GRU.

Bij het openen van het kwaadaardige document start een WebDAV-downloadketen die malware installeert via COM-hijacking, een schadelijke DLL (EhStoreShell.dll), en shellcode verborgen in een afbeeldingsbestand (SplashScreen.png). Er wordt ook een geplande taak ingesteld (OneDriveHealth).

Het uitvoeren van deze taak leidt tot het herstarten van het explorer.exe-proces, wat ervoor zorgt dat het bestand “EhStoreShell.dll” wordt geladen, aldus CERT-UA. Deze DLL voert de shellcode uit, die op zijn beurt de COVENANT-software start.

CERT-UA heeft deze malwareloader eveneens gekoppeld aan APT28-aanvallen in juni 2025, waarbij gebruik werd gemaakt van Signal-chats om schadelijke software af te leveren aan Oekraïense overheidsorganisaties. COVENANT maakt gebruik van de Filen (filen.io) cloudopslagdienst voor command-and-control (C2) operaties. Organisaties die verbindingen met dit platform blokkeren, kunnen zich beter verdedigen tegen deze dreiging.

Nader onderzoek toonde aan dat APT28 nog drie andere documenten gebruikte in aanvallen gericht op verschillende EU-organisaties, wat erop wijst dat de campagne zich buiten Oekraïne uitstrekt. In sommige gevallen werden de domeinen die de aanvallen ondersteunen, nog op dezelfde dag geregistreerd.

Organisaties wordt aangeraden de nieuwste beveiligingsupdate toe te passen voor Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024, en Microsoft 365 Apps. Voor Office 2021 en later moeten gebruikers applicaties herstarten om de updates te activeren.

Als directe patching niet mogelijk is, raadt men aan om de registry-gebaseerde mitigatie-instructies te volgen. Microsoft heeft eerder aangegeven dat de Protected View van Defender een extra beschermingslaag biedt door schadelijke Office-bestanden afkomstig van internet te blokkeren, tenzij ze expliciet zijn vertrouwd.

Efficiëntere IT-Workflows met Tines

Moderne IT-infrastructuur evolueert sneller dan handmatige workflows kunnen verwerken. In een nieuwe gids van Tines leer je hoe je team verborgen handmatige vertragingen kan verminderen, de betrouwbaarheid kan verbeteren via geautomatiseerde reacties en intelligente workflows kan bouwen en uitbreiden op basis van tools die je al gebruikt.

Verkrijg de gids en ontdek meer.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.