Microsoft раскрыла критическую уязвимость нулевого дня в продуктах Office (CVE-2026-21509) 26 января, однако буквально через три дня исследователи обнаружили первые реальные кибератаки. Это свидетельствует о том, что окно между раскрытием уязвимости и её активной эксплуатацией сократилось до критически короткого периода — всего 72 часа.
Атака начинается с документа Word, замаскированного под легитимный материал. Когда жертва открывает файл, Office инициирует WebDAV-соединение с внешней инфраструктурой злоумышленников и загружает скрытые DLL-файлы, которые подменяют системные компоненты Windows. Через манипуляцию COM-объектом (CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}) запускается вредоносный код, который создает запланированную задачу OneDriveHealth для обеспечения персистентности. Управление скомпрометированной системой осуществляется через облачный сервис Filen с использованием фреймворка COVENANT.
Основными целями стали государственные структуры и объекты критической инфраструктуры в Украине и странах ЕС. Первые целенаправленные фишинг-рассылки уже зафиксированы: 29 января был отправлен документ "Consultation_Topics_Ukraine(Final).doc", а 30 января началась массовая рассылка якобы от имени Гидрометеорологического центра Украины на 60+ адресатов государственных структур. Организациям необходимо немедленно обновить Microsoft Office, блокировать WebDAV-соединения на уровне межсетевых экранов, внедрить DLP-сканирование документов и EDR-мониторинг создания подозрительных запланированных задач.