Krytyczna luka w Office – hakerzy atakują w mgnieniu oka

Klikasz „Włącz edycję” w Wordzie bez mrugnięcia okiem? W tym tygodniu to może być zbyt odważne hobby.

Microsoft w pośpiechu załatał krytyczny błąd w Office (CVE-2026-21509), a rosyjscy hakerzy powiązani z APT28 wykorzystali go w mniej niż 48 godzin od publikacji łatki. Ataki celowały w resorty obrony, logistykę i dyplomację – od Polski po Turcję i Ukrainę – wykorzystując sprytne dokumenty i bezplikowe implanty działające tylko w pamięci.

To nie jest kolejny „update jak co wtorek”. To out-of-band, czyli nagła aktualizacja poza kalendarzem, bo luka omijała zabezpieczenia OLE w Office. Okno na załatanie systemów kurczy się do dni, czasem godzin – a CISA już wrzuciła CVE-2026-21509 na listę znanych, aktywnie wykorzystywanych podatności. Krótko: aktualizujesz teraz, albo liczysz, że spear phishing ominie twoją skrzynkę. [2]

O co chodzi

CVE-2026-21509 to „security feature bypass” – obejście mechanizmów, które mają hamować niebezpieczne kontrolki COM/OLE osadzone w dokumentach. Atak nie działa z Panelu podglądu, ale wymaga, by ofiara otworzyła spreparowany plik Office. Microsoft opisuje to prosto: bazowanie na „niezaufanych wejściach” pozwala lokalnemu napastnikowi obejść mitygacje OLE i uruchomić złośliwy kod po otwarciu dokumentu. Ocena CVSS: 7.8. [8][7]

Kontekst: szybko, ciszej, sprytniej

Łatka pojawiła się pod koniec stycznia. Według badaczy napastnicy z APT28 (alias Fancy Bear, Sednit, Sofacy, Forest Blizzard) zreverse’owali aktualizację i w dwa dni przygotowali działający exploit. Ruszyła 72-godzinna kampania spear phishingowa (start 28 stycznia) z co najmniej 29 różnymi „wabikami” mailowymi, wysyłanymi z wcześniej przejętych rządowych kont. Trudno o bardziej wiarygodne źródło w oczach adresatów. [5]

Fakty: kto, jak, gdzie

• Celowniki: ministerstwa obrony (ok. 40% celów), operatorzy transportu i logistyki (35%) oraz placówki dyplomatyczne (25%).
• Geografia: dziewięć krajów, głównie Europa Wschodnia. Wymieniono m.in. Polskę, Słowenię, Turcję, Grecję, ZEA, Ukrainę, Rumunię i Boliwię.
• Technika: dwa nowe, wcześniej nieopisane backdoory; chain infekcji modułowy; ładunki szyfrowane, działające w pamięci (fileless), tak by ominąć EPP/AV.
• Infrastruktura: kanały C2 w legalnych chmurach, często dopuszczonych w sieciach wrażliwych – ruch wygląda jak „normalny HTTPS”.

Badacze z Trellix puentują to dość trzeźwo: państwowi aktorzy potrafią uzbroić świeże luki błyskawicznie, drastycznie skracając czas, jaki obrońcy mają na reakcję.

Co mówi Microsoft i reszta ekosystemu

Microsoft potwierdził aktywną eksploatację, wydał OOB patch i dorzucił środki tymczasowe. Dla Microsoft 365 Apps ochrona włącza się po stronie usług – trzeba tylko zrestartować aplikacje Office. Dla wersji „wieczystych” są konkretne numery wydań: Office 2016 – 16.0.5539.1001; Office 2019 – 16.0.10417.20095. LTSC 2021 i 2024 też wymagają aktualizacji. Jeśli aktualizacja musi poczekać, Microsoft zaleca obejście przez wpis w rejestrze blokujący problematyczną kontrolkę OLE – po zamknięciu Office, dodaniu klucza COM Compatibility dla identyfikatora {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} i ustawieniu flagi Compatibility Flags na 0x400. To brzydkie, ale działa do czasu patcha.

Cisco Talos dorzucił reguły Snort/ClamAV wykrywające próby wykorzystania CVE-2026-21509, a CISA wpisała podatność do KEV i wymaga od federalnych agencji w USA załatania do 16 lutego 2026 r. Microsoft podkreśla też, że domyślny Protected View pomaga, a Defender ma detekcje na nadużycia OLE – choć w praktyce, przy fileless i szyfrowaniu, nic nie zastąpi zdrowego rozsądku użytkownika i szybkich aktualizacji. [2]

Dlaczego to ma znaczenie (i dla kogo)

Office to klej biurowy świata. Jeśli da się go skłonić do uruchomienia czegokolwiek po otwarciu dokumentu, każdy łańcuch dostaw i każda administracja ma problem. Tu dodatkowo mamy textbookowy przykład „patch diffingu”: publikacja łatki to sygnał dla ofensywy, co dokładnie naprawiono i gdzie kopać. Gdy ofiary rozliczają cykle testów i okna serwisowe, druga strona już wysyła wiarygodne maile z przejętych skrzynek. Ironia? Odrobinę.

Co zrobić teraz

• Zaktualizuj Office. Jeśli masz Microsoft 365/Office 2021+ – restart aplikacji po stronie klienta, resztę zrobi usługa. Jeśli Office 2016/2019/LTSC – zainstaluj odpowiednie KB z wersjami wskazanymi wyżej.
• Jeśli nie możesz patchować dziś – włącz obejście w rejestrze blokujące daną kontrolkę OLE i egzekwuj Protected View. Potem i tak zaplanuj patch ASAP.
• Ogranicz zaufanie do dokumentów nawet „od znajomych” – w tej kampanii źródłem były przejęte konta rządowe. To, że nadawca wygląda poprawnie, nie znaczy, że plik jest bezpieczny.
• Monitoruj nietypowe zachowania Office: makra/inicjacje procesów, ruch HTTPS do nietypowych usług chmurowych. Dostawcy EDR/XDR już publikują reguły.

Krótki komentarz

APT28 zagrało podręcznikowo: spear phish, skok na świeżą lukę, pamięciowy implant, chmurowe C2. Obrona też ma podręcznikową odpowiedź: łataj, restartuj, nie ufaj załącznikom i patrz w telemetrykę. Tyle że tempo nie jest już podręcznikowe – jest wyścigiem. Publikacja OOB patcha to dziś start pistoletu, nie meta.

Podsumowanie

CVE-2026-21509 nie wywraca stolika, ale pokazuje, jak cienka jest granica między „załatane” a „wykorzystane”. Jeśli twoje zespoły jeszcze dyskutują, kiedy włączyć patch, APT-y prawdopodobnie mają już gotowy scenariusz „po”. Aktualizuj, restartuj i traktuj każdy „niewinny” dokument jako potencjalnie niebezpieczny – bo ktoś po drugiej stronie właśnie tak go traktuje.

FAQ

Czy moja wersja Microsoft Office jest podatna na CVE-2026-21509?

Tak, jeśli używasz Office 2016, 2019, LTSC 2021/2024 lub Microsoft 365 Apps bez najnowszej ochrony. Microsoft 365/Office 2021+ dostają ochronę po stronie usług, ale wymagają restartu aplikacji.

Czy Panel podglądu w Outlooku/Exploratorze uruchamia ten atak?

Nie, podgląd nie jest wektorem ataku. Atak wymaga otwarcia spreparowanego pliku w aplikacji Office.

Kiedy powinienem zainstalować aktualizację Office dla CVE-2026-21509?

Natychmiast. CISA wyznaczyła termin dla agencji federalnych USA na 16 lutego 2026 r., co pokazuje pilność tematu.

Jak tymczasowo złagodzić ryzyko, jeśli nie mogę od razu zaktualizować Office?

Dodaj wpis w rejestrze blokujący kontrolkę OLE {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} (Compatibility Flags = 0x400) i korzystaj z Protected View. To obejście jest tymczasowe – patch i restart pozostają konieczne.

Dlaczego tak ważne jest ponowne uruchomienie aplikacji Office po aktualizacji?

Bo ochrona dla Microsoft 365/Office 2021+ aktywuje się po stronie usług, ale klient musi odświeżyć stan. Bez restartu możesz nie mieć włączonych nowych zabezpieczeń.

Źródła

• [1] https://arstechnica.com/security/2026/02/russian-state-hackers-exploit-office-vulnerability-to-infect-computers/
• [2] https://blog.talosintelligence.com/microsoft-oob-update-january-2026/
• [3] https://ground.news/article/microsoft-office-zero-day-exploited-days-after-emergency-patch-update-asap
• [4] https://ushopwell.com/ublog/microsoft-releases-urgent-office-patch-russian-state-hackers-pounce/
• [5] https://hashe.com/tech-news/microsoft-releases-urgent-office-patch-russian-state-hackers-pounce/
• [6] https://bleepingcomputer.com/news/microsoft/microsoft-patches-actively-exploited-office-zero-day-vulnerability/
• [7] https://thehackernews.com/2026/01/microsoft-issues-emergency-patch-for.html
• [8] https://fieldeffect.com/blog/microsoft-oob-patch-actively-exploited-office-zero-day