Dowództwo Wojsk Obrony Cyberprzestrzeni wydało pilne ostrzeżenie dotyczące pakietu Microsoft Office. Luka bezpieczeństwa jest wykorzystywana w realnych atakach na instytucje publiczne.

Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC) poinformowało o poważnej podatności w oprogramowaniu Microsoft Office. Według wojska zagrożenie jest aktywnie wykorzystywane przez cyberprzestępców, a celem ataków są instytucje publiczne w Polsce oraz w innych krajach regionu.

Spreparowany plik i przejęcie kontroli

Schemat działania jest stosunkowo prosty, ale skuteczny. Atakujący przygotowują zmodyfikowany dokument Office – najczęściej plik Word – który trafia do ofiary w wiadomości e-mail. Po jego otwarciu wykorzystywana jest luka w zabezpieczeniach pakietu.

Efekt? Zainstalowanie złośliwego oprogramowania, które może umożliwić przejęcie kontroli nad komputerem lub smartfonem, a także kradzież danych.

Jak podkreśla DKWOC, przestępcy starannie profilują swoje działania. Wiadomości są dopasowane do profilu działalności nadawcy i odbiorcy, co znacząco zwiększa ich wiarygodność. Co więcej, wykorzystywane są wcześniej przejęte konta e-mail pracowników instytucji państwowych z krajów Europy Środkowo-Wschodniej.

Które wersje są zagrożone?

Podatność dotyczy kilku wersji oprogramowania. Zgodnie z informacjami przekazanymi przez Microsoft oraz cytowanymi przez DKWOC, zagrożenie obejmuje:

• Microsoft Office 2016,
• Microsoft Office 2019,
• Microsoft Office LTSC 2021,
• Microsoft Office LTSC 2024,
• Microsoft 365 Apps for Enterprise.

Dowództwo zaleca natychmiastowe zainstalowanie aktualizacji bezpieczeństwa oraz ponowne uruchomienie pakietu po jej wdrożeniu.

Ataki o charakterze szpiegowskim

O kampanii phishingowej informował wcześniej ukraiński zespół reagowania na incydenty komputerowe CERT-UA. Jak podano, pierwsze aktywne wykorzystanie podatności odnotowano 29 stycznia – zaledwie kilka dni po publikacji awaryjnej aktualizacji przez Microsoft.

Portal cyberdefence24.pl, analizując komunikat, wskazał, że luka była wykorzystywana przez grupę powiązaną z rosyjskimi służbami wywiadowczymi. Ofiarami miały paść przede wszystkim instytucje państwowe oraz podmioty o strategicznym znaczeniu w Ukrainie, Słowacji i Rumunii.

Zdaniem ekspertów sposób profilowania wiadomości i używanie lokalnych języków może wskazywać na działania o charakterze wywiadowczym, ukierunkowane na pozyskiwanie informacji politycznych i strategicznych.

Wojsko apeluje o czujność i pilne aktualizacje systemów — zagrożenie nie ma charakteru teoretycznego, lecz jest realnie wykorzystywane w atakach.