Wojsko ostrzega instytucje przed luką bezpieczeństwa w Microsoft Office

„DKWOC zaleca wszystkim użytkownikom pakietu Microsoft Office w wersjach 2016 i 2019 niezwłoczne zainstalowanie właściwych aktualizacji bezpieczeństwa” - wskazali żołnierze we wpisie w serwisie X. Po zaktualizowaniu pakietu należy ponownie uruchomić Microsoft Office - zaznaczyli.

Z komunikatu DKWOC wynika, że cyberprzestępcy przygotowują spreparowany plik Office, np. dokument Word, i wysyłają go w wiadomości e-mail. Plik po otwarciu przez użytkownika wykorzystuje podatność (luka bezpieczeństwa) w Microsoft Office, co pozwala na ominięcie domyślnych zabezpieczeń Microsoftu. Następnie na urządzeniu ofiary jest instalowane złośliwe oprogramowanie (malware), które pozwala m.in. na przejęcie kontroli nad komputerem czy smartfonem oraz kradzież danych.

Jak przekazało DKWOC, hakerzy wysyłają zainfekowany plik, wykorzystując wcześniej przejęte konta e-mail pracowników instytucji państwowych z krajów Europy Środkowo-Wschodniej, w tym m.in. Ukrainy i Rumunii. Natomiast treści wiadomości są spójne z profilem działalności zarówno nadawcy, jak i odbiorcy, co zwiększa wiarygodność korespondencji - podano.

Wojsko podkreśla, że cyberprzestępcy precyzyjne typują instytucje i ich pracowników, których urządzenia chcą zinfiltrować. Sprawcy starają się także zminimalizować ryzyko wykrycia, co ma pozwolić na utrzymanie długotrwałej obecności w skompromitowanych systemach.

Podatność - jak podał 26 stycznia Microsoft w komunikacie - występuje w wersjach: Microsoft Office 2016; Microsoft Office 2019; Microsoft Office LTSC 2021, Microsoft Office LTSC 2024, Microsoft 365 Apps for Enterprise.

O kampanii phishingowej wykorzystującej lukę w pakiecie Microsoft Office, informował w ubiegłym tygodniu ukraiński zespół reagowania na incydenty komputerowe (CERT-UA). Jak podał portal cyberdefence24.pl, który przenalizował komunikat, pierwsze aktywne wykorzystanie luki ukraiński zespół odnotował 29 stycznia br., trzy dni po publikacji i wdrożeniu awaryjnej aktualizacji przez Microsoft. Według zespołu CERT-UA, podatność była aktywnie wykorzystywana w rzeczywistych atakach przez grupę powiązaną z rosyjskimi służbami wywiadowczymi.

„Ofiarami ataków padły przede wszystkim instytucje państwowe i organizacje o znaczeniu strategicznym w Europie Środkowo-Wschodniej, w tym jednostki rządowe i administracyjne Ukrainy, Słowacji oraz Rumunii” - podał cyberdefence24.pl. Zdaniem ekspertów portalu, profilowanie wiadomości oraz wykorzystanie lokalnych języków „wskazuje na intencje szpiegowskie ukierunkowane na pozyskiwanie informacji o charakterze politycznym i strategicznym”. (PAP)

mbl/ ugw/