Russen greifen jüngste Zero-Day-Lücke in Microsoft Office zügig an
Der vor einer Woche bekannt gewordene Zero-Day-Schwachstelle in Microsofts Office-Anwendungen wird aktuell von Angreifern aus Russland ausgenutzt. Davor hat die ukrainische Computer-Notfallhilfe CERT-UA gewarnt.
Microsoft hatte am 26. Januar ein Notfall-Update veröffentlicht und dabei ausdrücklich auf laufende Angriffe hingewiesen. Nur drei Tage später registrierte CERT-UA die Verbreitung manipulierter Word-Dokumente, die gezielt auf diese Schwachstelle abzielten. Thematisch tarnten sich die Dateien unter anderem als Unterlagen zu Konsultationen des EU-Gremiums COREPER im Zusammenhang mit der Ukraine. In weiteren Fällen gaben sich die Absender als Ukrainisches Hydrometeorologisches Zentrum aus und verschickten die E-Mails an mehr als 60 staatliche oder staatsnahe Empfänger.
Auffällig ist laut CERT-UA, dass die Metadaten eines der schädlichen Dokumente darauf hindeuten, dass es erst einen Tag nach Veröffentlichung des Microsoft-Patches erstellt wurde. Dies spreche für eine schnelle Anpassung der Angreifer an die neue Sicherheitslage. Die Angriffe werden der Gruppe APT28 zugeschrieben, die auch unter den Namen Fancy Bear oder Sofacy bekannt ist und dem russischen Militärgeheimdienst GRU nahestehen soll.
Beim Öffnen der präparierten Dateien wird eine mehrstufige Infektionskette ausgelöst. Über einen WebDAV-Mechanismus werden weitere Komponenten nachgeladen, darunter eine manipulierte DLL-Datei, versteckter Schadcode in einer Bilddatei sowie eine geplante Aufgabe im System. Diese sorgt unter anderem dafür, dass der Windows-Explorer neu gestartet wird und der Schadcode zuverlässig ausgeführt werden kann.
Weitere Ermittlungen zeigen, dass ähnliche Dokumente auch gegen Organisationen in der EU eingesetzt wurden, was auf eine über die Ukraine hinausgehende Kampagne hindeutet. Behörden und Unternehmen wird dringend geraten, alle betroffenen Office-Versionen umgehend zu aktualisieren und Anwendungen neu zu starten. Ist dies kurzfristig nicht möglich, sollten zumindest die von Microsoft empfohlenen Übergangsmaßnahmen umgesetzt werden. Zusätzlich kann der geschützte Modus von Microsoft Defender helfen, Schaddateien aus dem Internet abzufangen.
Siehe auch:
Patch möglichst schnell einspielen
Nach Angaben der Behörde missbrauchen Angreifer die Schwachstelle CVE-2026-21509, die von Microsoft erst vor wenigen Tagen mit einem außerplanmäßigen Sicherheitsupdate behoben wurde. Die Lücke galt bis dahin als sogenannter Zero-Day-Fehler und wurde auch schon zuvor aktiv ausgenutzt, wenn auch in überschaubarem Rahmen.Microsoft hatte am 26. Januar ein Notfall-Update veröffentlicht und dabei ausdrücklich auf laufende Angriffe hingewiesen. Nur drei Tage später registrierte CERT-UA die Verbreitung manipulierter Word-Dokumente, die gezielt auf diese Schwachstelle abzielten. Thematisch tarnten sich die Dateien unter anderem als Unterlagen zu Konsultationen des EU-Gremiums COREPER im Zusammenhang mit der Ukraine. In weiteren Fällen gaben sich die Absender als Ukrainisches Hydrometeorologisches Zentrum aus und verschickten die E-Mails an mehr als 60 staatliche oder staatsnahe Empfänger.
Auffällig ist laut CERT-UA, dass die Metadaten eines der schädlichen Dokumente darauf hindeuten, dass es erst einen Tag nach Veröffentlichung des Microsoft-Patches erstellt wurde. Dies spreche für eine schnelle Anpassung der Angreifer an die neue Sicherheitslage. Die Angriffe werden der Gruppe APT28 zugeschrieben, die auch unter den Namen Fancy Bear oder Sofacy bekannt ist und dem russischen Militärgeheimdienst GRU nahestehen soll.
Beim Öffnen der präparierten Dateien wird eine mehrstufige Infektionskette ausgelöst. Über einen WebDAV-Mechanismus werden weitere Komponenten nachgeladen, darunter eine manipulierte DLL-Datei, versteckter Schadcode in einer Bilddatei sowie eine geplante Aufgabe im System. Diese sorgt unter anderem dafür, dass der Windows-Explorer neu gestartet wird und der Schadcode zuverlässig ausgeführt werden kann.
EU-Staaten betroffen
Am Ende der Kette wird das Framework COVENANT installiert, das CERT-UA bereits mit früheren APT28-Angriffen in Verbindung gebracht hatte. Für die Steuerung der infizierten Systeme nutzt die Schadsoftware demnach den Cloud-Dienst filen.io. Das Blockieren oder Überwachen entsprechender Verbindungen könne die Abwehr verbessern.Weitere Ermittlungen zeigen, dass ähnliche Dokumente auch gegen Organisationen in der EU eingesetzt wurden, was auf eine über die Ukraine hinausgehende Kampagne hindeutet. Behörden und Unternehmen wird dringend geraten, alle betroffenen Office-Versionen umgehend zu aktualisieren und Anwendungen neu zu starten. Ist dies kurzfristig nicht möglich, sollten zumindest die von Microsoft empfohlenen Übergangsmaßnahmen umgesetzt werden. Zusätzlich kann der geschützte Modus von Microsoft Defender helfen, Schaddateien aus dem Internet abzufangen.
Zusammenfassung
- Russische Hacker nutzen neue Zero-Day-Lücke CVE-2026-21509 in Office
- Microsoft veröffentlichte am 26. Januar ein Notfall-Update für die Schwachstelle
- APT28-Gruppe (Fancy Bear) verschickt manipulierte Word-Dokumente per E-Mail
- Angreifer reagierten innerhalb eines Tages auf das veröffentlichte Update
- Infektion erfolgt mehrstufig und installiert das Framework COVENANT
- Cloud-Dienst filen.io wird zur Steuerung der kompromittierten Systeme genutzt
- Angriffe betreffen Ukraine und weitere EU-Organisationen
Siehe auch:
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen