O Computer Emergency Response Team da Ucrânia (CERT-UA) alerta que hackers russos estão explorando a vulnerabilidade
CVE-2026-21509
, recentemente corrigida em diversas versões do Microsoft Office.
Em 26 de janeiro, a Microsoft lançou uma atualização de segurança emergencial, fora do ciclo regular, para corrigir essa falha zero-day, que já estava sendo explorada ativamente por atacantes.
Três dias após o alerta da Microsoft, o CERT-UA detectou a distribuição de arquivos DOC maliciosos que exploram essa vulnerabilidade.
Esses arquivos estavam vinculados a consultas do COREPER da União Europeia na Ucrânia.
Em outras ocasiões, os ataques utilizaram e-mails que se passavam pelo Centro Hidrometeorológico da Ucrânia, enviados para mais de 60 endereços de órgãos governamentais.
Curiosamente, a agência observou que os metadados dos documentos indicam que foram criados um dia após a Microsoft liberar a atualização emergencial, sugerindo uma resposta rápida dos hackers.
O CERT-UA atribui essas operações ao grupo APT28, também conhecido como Fancy Bear ou Sofacy, vinculado à Diretoria Principal de Inteligência do Estado-Maior russo (GRU).
Ao abrir o documento malicioso, a vítima aciona uma cadeia de downloads baseada em WebDAV, que instala malware por meio de COM hijacking.
O processo envolve uma DLL maliciosa chamada EhStoreShell.dll, shellcode embutido em um arquivo de imagem (SplashScreen.png) e uma tarefa agendada nomeada OneDriveHealth.
Segundo o relatório do CERT-UA, a execução dessa tarefa agendada resulta na parada e reinício do processo explorer.exe.
Esse reinício, combinado ao COM hijacking, permite o carregamento da EhStoreShell.dll.
Essa DLL, por sua vez, executa o shellcode contido na imagem, que instala no computador o framework COVENANT.
O mesmo loader de malware foi vinculado anteriormente pelo CERT-UA a ataques do APT28 em junho de 2025, quando conversas no Signal foram exploradas para distribuir os malwares BeardShell e SlimAgent a órgãos governamentais ucranianos.
A agência também informou que o COVENANT utiliza o serviço de armazenamento em nuvem Filen (filen.io) para operações de comando e controle (C2).
Monitorar ou bloquear conexões relacionadas a essa plataforma pode fortalecer a defesa contra essa ameaça.
Investigações posteriores revelaram que o APT28 empregou mais três documentos maliciosos para atacar organizações baseadas na União Europeia, indicando que a campanha ultrapassa a Ucrânia.
Em um dos casos analisados, os domínios usados nos ataques foram registrados no mesmo dia.
Recomenda-se que as organizações apliquem imediatamente a atualização de segurança mais recente para as versões Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 e Microsoft 365 Apps.
Para o Office 2021 e versões posteriores, é fundamental que os usuários reiniciem os aplicativos para que o patch seja aplicado.
Caso não seja possível realizar a correção imediata, recomenda-se adotar as mitigações baseadas no registro do Windows, conforme as orientações da cobertura original sobre a vulnerabilidade.
A Microsoft também destacou que o Protected View do Defender oferece uma camada extra de proteção, bloqueando arquivos do Office maliciosos provenientes da internet, a menos que sejam explicitamente confiáveis.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...