Moins d’une semaine après la publication d’un patch par Microsoft, la vulnérabilité repérée dans Office se retrouve au cœur d’attaques attribuées à un groupe étatique affilié au renseignement russe.
Il n’aura pas fallu attendre bien longtemps. Le 26 janvier, Redmond publiait en urgence un correctif pour une faille importante dans Microsoft Office (CVE-2026-21509, CVSS 7.8), assorti d’une note confirmant son exploitation active. Trois jours plus tard, le 29 janvier, un premier document piégé exploitant la vulnérabilité était repéré, ses métadonnées indiquant qu’il avait été créé le 27 janvier, soit 24 heures à peine après l’alerte. Selon le CERT ukrainien, la campagne est menée par APT28, lié au GRU, et vise des institutions gouvernementales en Ukraine, ainsi que des organisations basées dans l’Union européenne.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Des leurres administratifs au service d’une campagne d’espionnage
D’après les détails fournis par le CERT-UA, le document en question, intitulé Consultation_Topics_Ukraine(Final).doc, s’adressait au Comité des représentants permanents auprès de l'UE (COREPER) sur la situation en Ukraine. Il embarquait un exploit pour la faille CVE-2026-21509, déclenché à l’ouverture du fichier dans Office, et entraînant l’établissement d’une connexion réseau vers une ressource externe via WebDAV. Une fois la connexion établie, s’en est suivi le téléchargement d’un module chargé de récupérer et d’exécuter une charge malveillante, destinée à offrir un accès distant et persistant au PC infecté.
Le même jour, un second document piégé du même acabit, nommé BULLETEN_H.doc et prétendument envoyé par le Centre hydrométéorologique ukrainien, était cette fois transmis à plus de 60 adresses mail, principalement rattachées à des organes exécutifs centraux ukrainiens.
Fin janvier, enfin, le CERT-UA confirmait la diffusion d’au moins trois autres fichiers piégés reposant sur le même schéma. Leur contenu et certains marqueurs techniques, notamment la structure des URL intégrées, laissent penser qu’ils ont été utilisés contre des organisations basées dans l’Union européenne.
Dans tous les cas, ces documents ont cherché à déployer COVENANT, un framework de post-exploitation utilisé pour prendre la main sur la machine compromise. Les éléments relevés par les autorités ukrainiennes pointent vers APT28, aussi connu sous le nom Fancy Bear, un groupe de cyberespionnage lié au renseignement militaire russe et déjà mis en cause dans des opérations visant des institutions françaises.
Priorité aux correctifs et aux mesures d’atténuation
Une fois COVENANT déployé, son pilotage passe par l’infrastructure du service de stockage cloud Filen (filen.io) pour les communications de commande et contrôle, ce qui permet de faire transiter le trafic via une plateforme légitime et de compliquer la détection sur le réseau. Par conséquent, la meilleure chose à faire consiste à surveiller, voire à restreindre, les connexions vers ce service, en particulier dans les environnements sensibles.
N’oubliez pas non plus d’appliquer les correctifs que Microsoft a publié en urgence dès le 26 janvier pour les versions concernées de Microsoft Office. Les éditions les plus récentes (2021 et ultérieures) en bénéficient automatiquement, à condition de redémarrer les applications afin que l’installation soit prise en compte. Pour Office 2016 et 2019, il convient d’installer le patch via Windows Update ou via le Catalogue Microsoft Update (Office 2019 build 10417.20095, Office 2016 KB5002713).
Si vous ne pouvez pas patcher immédiatement certains postes, Redmond recommande de mettre en place les mesures d’atténuation via une modification du registre Windows, telles que détaillées dans sa documentation.
