Microsoft Officea vastaan suunnattu nollapäivähaavoittuvuus nousi vuoden 2026 alun vakavimmaksi yritysuhaksi, kun Yhdysvaltain kyberturvallisuusvirasto CISA lisäsi 26. tammikuuta 2026 luetteloonsa haavoittuvuuden CVE-2026-21509. Haavoittuvuutta oli jo hyödynnetty aktiivisesti hyökkäyksissä, ja sen takaa paljastui Venäjän sotilastiedusteluun yhdistetty toimija APT28. Tapaus on osa laajempaa ilmiötä: Googlen uhkatiedusteluyksikkö GTIG laski 90 villissä luonnossa hyväksikäytettyä nollapäivähaavoittuvuutta vuonna 2025, kun luku oli 78 vuonna 2024. Suunta on selvä, ja se koskettaa suoraan myös suomalaisia ja pohjoismaisia organisaatioita.
Tämä uutisanalyysi käy läpi, mitä CVE-2026-21509 -tapauksessa tapahtui, kuka APT28 on, miten hyökkäys teknisesti toimi ja mitä se tarkoittaa eurooppalaisille puolustajille. Mukana on lukuja, asiantuntija-arvioita, historiallinen konteksti ja viisi ennustetta loppuvuodelle 2026.
Mitä CVE-2026-21509 -nollapäivähaavoittuvuudessa tapahtui
CVE-2026-21509 on Microsoft Officeen ja Microsoft 365 -tuotteisiin vaikuttava haavoittuvuus, jonka avulla hyökkääjä pystyy ohittamaan Officen suojausominaisuuksia. Recorded Futuren tammikuun 2026 haavoittuvuuskatsauksen mukaan vika luokiteltiin erittäin kriittiseksi, ja sitä hyödynnettiin nollapäivänä eli ennen kuin korjauspäivitys oli yleisesti saatavilla. Microsoftin neuvonnassa ei ollut yksilöity tarkkoja haavoittuvia versioita, mikä tarkoittaa käytännössä, että laaja joukko Office-asennuksia oli vaarassa.
Hyökkäyskampanjalle annettiin nimi Operation Neusploit. Tutkijoiden mukaan toimija toimitti haittakoodin aseistetuilla RTF-tiedostoilla, jotka näyttävät uhrille tavallisilta tekstidokumenteilta. Avattuna tiedosto käynnisti ketjun, joka ohitti Officen OLE-suojaukset ja asensi koneelle vakoiluun tarkoitettuja takaovia. Raporttien mukaan hyötykuormina käytettiin MiniDoor- ja PixyNetLoader-haittaohjelmia sekä Covenant Grunt -implanttia, joka antaa hyökkääjälle pysyvän etäyhteyden kohdejärjestelmään.
Yksi katsauksen lähde antoi haavoittuvuudelle riskipistemäärän 99 sadasta. On syytä huomata, että kyseessä ei ole virallinen CVSS-pistemäärä vaan toimittajakohtainen riskiluokitus. Riippumatta tarkasta numerosta arvio kertoo selvän viestin: kyseessä oli vakava, helposti hyödynnettävä ja aktiivisesti käytetty haavoittuvuus, joka ansaitsi välittömän huomion. Alla on tapauksen keskeiset tiedot tiivistettynä.
| Tieto | Yksityiskohta |
|---|---|
| CVE-tunnus | CVE-2026-21509 |
| Tuote | Microsoft Office / Microsoft 365 |
| Haavoittuvuustyyppi | Suojausominaisuuden ohitus (OLE-suojausten kierto) |
| Hyökkäysvektori | Aseistetut RTF-tiedostot |
| Toimija | APT28 (Venäjän sotilastiedusteluun yhdistetty) |
| Kampanjan nimi | Operation Neusploit |
| Hyötykuormat | MiniDoor, PixyNetLoader, Covenant Grunt |
| Lisätty CISA KEV -luetteloon | 26. tammikuuta 2026 |
Kuka on APT28 ja miksi se iskee Eurooppaan
APT28 tunnetaan myös nimillä Fancy Bear, Sofacy ja Sednit. Länsimaisten tiedustelupalveluiden mukaan kyseessä on Venäjän sotilastiedustelun GRU:n yksikkö 26165. Ryhmä on toiminut yli vuosikymmenen, ja sen kohteina ovat olleet hallitukset, puolustusteollisuus, poliittiset puolueet, mediayhtiöt ja kansainväliset järjestöt. APT28:n tavoitteet ovat tyypillisesti tiedustelullisia ja poliittisia, eivät suoraan taloudellisia, mikä erottaa sen rahaa tavoittelevista kiristysohjelmajengeistä.
Eurooppa on ryhmälle keskeinen toiminta-alue. APT28 on yhdistetty Saksan liittopäivien laajaan tietomurtoon vuonna 2015, Yhdysvaltain demokraattipuolueen vuotoihin vuonna 2016, kemiallisten aseiden kieltojärjestön OPCW:n vastaiseen operaatioon Haagissa vuonna 2018 sekä Norjan suurkäräjien sähköpostijärjestelmän murtoon vuonna 2020. Vuosina 2023 ja 2024 ryhmä hyödynsi Microsoft Outlookin haavoittuvuutta CVE-2023-23397 eurooppalaisia poliittisia ja sotilaallisia kohteita vastaan.
Pohjoismaiden kannalta APT28 ei ole etäinen uhka. Norjan tapaus vuonna 2020 osoitti, että ryhmä on valmis iskemään suoraan pohjoismaisiin parlamentteihin. Suomen ja muiden Pohjoismaiden Nato-jäsenyyden myötä alueen poliittinen ja sotilaallinen merkitys on kasvanut, mikä lisää kiinnostusta valtiollisten toimijoiden silmissä. Office-pohjainen hyökkäys, kuten CVE-2026-21509, sopii hyvin tähän kaavaan, koska Office on käytössä lähes jokaisessa hallinnon ja yrityksen työasemassa.
Näin hyökkäys teknisesti toimi: RTF-tiedostot ja OLE
Ymmärtääkseen hyökkäyksen vaarallisuuden kannattaa avata kaksi käsitettä. RTF eli Rich Text Format on Microsoftin tekstidokumenttimuoto, joka näyttää tavalliselta asiakirjalta mutta voi sisältää upotettuja objekteja ja komentoja. OLE eli Object Linking and Embedding on Microsoftin tekniikka, jolla dokumenttiin voidaan upottaa toisia tiedostoja ja objekteja. Hyökkääjät ovat jo vuosia väärinkäyttäneet OLE-objekteja piilottaakseen ja käynnistääkseen haitallista koodia näennäisen harmittomien dokumenttien sisällä.
CVE-2026-21509 -tapauksessa APT28 rakensi RTF-tiedoston, joka kiersi Officen OLE-suojaukset. Kun uhri avasi liitteen, dokumentti ei vaatinut näkyvää toimintoa tai makrojen sallimista, vaan suojausominaisuuden ohitus tapahtui taustalla. Tämä tekee hyökkäyksestä erityisen petollisen, koska monet organisaatiot luottavat siihen, että makrojen estäminen riittää suojaksi. Suojausominaisuuden ohitus ei kuitenkaan tarvitse makroja toimiakseen.
Ketjun loppupäässä ladattiin vakoiluun tarkoitetut implantit. Covenant Grunt on avoimen lähdekoodin komento- ja hallintakehyksen agentti, jota myös rikolliset ja valtiolliset toimijat käyttävät, koska se sulautuu normaaliin liikenteeseen ja vaikeuttaa havaitsemista. Tällainen elävän maaston hyödyntäminen, jossa hyökkääjä käyttää laillisia tai laajalti tunnettuja työkaluja, on tyypillistä APT28:n kaltaisille edistyneille toimijoille.
CISA KEV -luettelo ja 26. tammikuuta 2026
CISA:n Known Exploited Vulnerabilities eli KEV-luettelo on yksi kyberpuolustuksen tärkeimmistä julkisista työkaluista. Luetteloon päätyvät vain haavoittuvuudet, joiden aktiivinen hyväksikäyttö on vahvistettu. Yhdysvaltain liittovaltion siviilihallinnon virastoja velvoittava sitova määräys edellyttää, että KEV-luetteloon lisätyt viat korjataan CISA:n asettamaan määräaikaan mennessä. Vaikka velvoite koskee virallisesti Yhdysvaltain virastoja, luettelosta on tullut maailmanlaajuinen priorisointistandardi, jota myös eurooppalaiset organisaatiot seuraavat.
Kun CVE-2026-21509 lisättiin KEV-luetteloon 26. tammikuuta 2026, viesti puolustajille oli yksiselitteinen: tämä ei ole teoreettinen riski vaan käynnissä oleva hyökkäys. KEV-merkintä toimii käytännön priorisointiohjeena tietoturvatiimeille, joiden on jatkuvasti valittava, mitkä sadat haavoittuvuudet korjataan ensin. Aktiivisesti hyödynnetyt viat nousevat jonon kärkeen.
Tammikuu 2026 oli kiireinen kuukausi. Recorded Futuren mukaan kuukauden aikana havaittiin 23 aktiivisesti hyväksikäytettyä CVE:tä, joiden joukossa oli APT28:n Office-nollapäivän lisäksi kriittisiä todennuksen ohittavia haavoittuvuuksia yrityskäytössä. Volyymi kertoo, että puolustajien on käsiteltävä jatkuvaa virtaa kiireellisiä korjauksia, eikä yksittäinen kuukausi anna hengähdystaukoa.
Nollapäivien ennätysvuosi: 90 hyväksikäyttöä vuonna 2025
CVE-2026-21509 ei ole poikkeus vaan jatkumo. Googlen uhatiedusteluyksikkö GTIG raportoi maaliskuussa 2026 julkaistussa katsauksessaan, että vuonna 2025 villissä luonnossa hyödynnettiin 90 nollapäivähaavoittuvuutta. Edellisvuonna luku oli 78, eli kasvua kertyi noin 15 prosenttia. GTIG:n keskeinen havainto oli, että lähes puolet näistä haavoittuvuuksista kohdistui yritystuotteisiin, kuten tietoturva- ja verkkolaitteisiin, eikä kuluttajien selaimiin tai puhelimiin kuten aiemmin.
Tämä siirtymä kuluttajatuotteista yritystuotteisiin on merkittävä. Yritystuotteiden haavoittuvuudet antavat hyökkääjälle pääsyn suoraan organisaation ytimeen, ohittaen usein perinteiset päätelaitesuojaukset. GTIG:n arvion mukaan suuntaus heijastaa sekä valtiollisten toimijoiden että kaupallisten vakoiluohjelmatoimittajien kasvavaa kiinnostusta korkean arvon kohteisiin. Nollapäivähaavoittuvuus on hyökkääjälle arvokas, koska sitä vastaan ei ole vielä korjausta.
| Ajanjakso | Hyväksikäytetyt haavoittuvuudet | Huomio |
|---|---|---|
| 2024 (koko vuosi) | 78 nollapäivää | GTIG:n vahvistama luku |
| 2025 (koko vuosi) | 90 nollapäivää | noin 15 % kasvu edellisvuodesta |
| 2025: yrityskohteet | lähes puolet kaikista | siirtymä kuluttajatuotteista yritystuotteisiin |
| Tammikuu 2026 | 23 aktiivista CVE:tä | mukana APT28:n Office-nollapäivä |
| Tammikuu 2026 | CVE-2026-21509 | lisätty CISA KEV -luetteloon 26.1.2026 |
Microsoftin nollapäiväaalto alkuvuonna 2026
APT28:n Office-haavoittuvuus ei jäänyt vuoden 2026 ainoaksi Microsoft-nollapäiväksi. Helmikuun 2026 Patch Tuesday -päivityksissä CrowdStrike nosti esiin haavoittuvuuden CVE-2026-21513, joka koski MSHTML-kehystä ja luokiteltiin julkisesti paljastetuksi ja aktiivisesti hyväksikäytetyksi suojausominaisuuden ohitukseksi. MSHTML on vanha Internet Explorer -pohjainen renderöintikomponentti, jota hyökkääjät ovat toistuvasti väärinkäyttäneet, koska se on yhä läsnä monissa Windows-ympäristöissä.
Maaliskuun 2026 Patch Tuesday korjasi puolestaan kaksi Microsoft Officen etäkoodin suoritushaavoittuvuutta, CVE-2026-26110 ja CVE-2026-26113, kuten Malwarebytes raportoi. Etäkoodin suoritus on haavoittuvuustyypeistä vakavin, koska se antaa hyökkääjälle mahdollisuuden ajaa omaa koodiaan uhrin koneella. Kun nämä yhdistetään tammikuun APT28-tapaukseen, syntyy kuva alkuvuodesta, jossa Microsoftin tuoteperhe oli toistuvasti hyökkäysten kohteena.
| CVE-tunnus | Tuote / komponentti | Haavoittuvuustyyppi | Lähde / ajankohta |
|---|---|---|---|
| CVE-2026-21509 | Microsoft Office / 365 | suojausominaisuuden ohitus (OLE) | APT28, CISA KEV 26.1.2026 |
| CVE-2026-21513 | MSHTML-kehys | suojausominaisuuden ohitus | CrowdStrike, helmikuun Patch Tuesday |
| CVE-2026-26110 | Microsoft Office | etäkoodin suoritus (RCE) | Malwarebytes, maaliskuun Patch Tuesday |
| CVE-2026-26113 | Microsoft Office | etäkoodin suoritus (RCE) | Malwarebytes, maaliskuun Patch Tuesday |
| 23 CVE:tä (kokonaiskuva) | useita yrityskäytön tuotteita | aktiivisesti hyväksikäytetty | Recorded Future, tammikuu 2026 |
Markkinavaikutus ja yritysten kustannukset
Nollapäivähaavoittuvuuksien siirtyminen yritystuotteisiin muuttaa puolustajien laskelmia. Kun lähes puolet vuoden 2025 hyväksikäytetyistä haavoittuvuuksista kohdistui yritystuotteisiin, perinteinen ajattelutapa, jossa luotetaan päätelaitteen virustorjuntaan, ei enää riitä. Office-pohjainen hyökkäys, kuten CVE-2026-21509, hyödyntää työkalua, joka on käytännössä jokaisella työntekijällä, joten hyökkäyspinta on valtava.
Käytännön kustannukset syntyvät kolmesta lähteestä. Ensimmäinen on korjauspäivitysten hallinta, joka vaatii työaikaa ja testausta ennen päivitysten levittämistä tuotantoon. Toinen on havainnointi ja reagointi, joka edellyttää investointeja päätelaite- ja verkkovalvontaan. Kolmas on mahdollisen murron jälkihoito, joka voi sisältää tutkinnan, tietosuojaviranomaisille ilmoittamisen ja maineen palauttamisen. Valtiollisen toimijan tunkeutuminen on erityisen kallista, koska se voi olla syvällä järjestelmissä kuukausia ennen havaitsemista.
Sääntely lisää painetta entisestään. EU:n verkko- ja tietoturvadirektiivi NIS2 sekä tuotteiden kyberturvallisuutta sääntelevä Cyber Resilience Act asettavat organisaatioille velvoitteita haavoittuvuuksien hallintaan ja häiriöistä ilmoittamiseen. Aktiivisesti hyödynnetyn nollapäivän, kuten CVE-2026-21509, käsittely ei siis ole vain tekninen vaan myös juridinen kysymys eurooppalaisille toimijoille.
Pohjoismainen näkökulma: miksi tämä koskettaa Suomea
Suomalaisille ja pohjoismaisille organisaatioille APT28:n Office-kampanja on konkreettinen muistutus. Microsoft Office ja Microsoft 365 ovat hallinnon, terveydenhuollon, koulutuksen ja yritysten perustyökaluja koko alueella. Jos haavoittuvuutta voidaan hyödyntää pelkällä dokumentin avaamisella ilman makroja, tavanomaiset käyttäjäkoulutukset eivät yksin riitä.
Pohjoismaiden geopoliittinen asema on muuttunut. Suomen ja Ruotsin Nato-jäsenyys, Itämeren kohonnut jännite ja toistuvat raportit kybervakoilusta ja merikaapeleiden vaurioista ovat nostaneet alueen valtiollisten toimijoiden kohdelistalle. APT28:n historia, johon kuuluu Norjan suurkäräjien murto vuonna 2020, osoittaa, että pohjoismaiset instituutiot ovat olleet ryhmän tähtäimessä jo aiemmin.
Käytännön johtopäätös on, että pohjoismaisten organisaatioiden on seurattava CISA:n KEV-luettelon kaltaisia lähteitä ja priorisoitava aktiivisesti hyödynnettyjen haavoittuvuuksien korjaaminen. Kansalliset toimijat, kuten Suomen Kyberturvallisuuskeskus, jakavat varoituksia, mutta vastuu nopeasta korjaamisesta on jokaisella organisaatiolla itsellään.
Historiallinen konteksti: APT28:n jälki Euroopassa
CVE-2026-21509 asettuu pitkään jatkumoon. APT28 on ollut yksi näkyvimmistä valtiollisista toimijoista yli vuosikymmenen ajan, ja sen kampanjat ovat toistuvasti hyödyntäneet juuri sähköposti- ja dokumenttipohjaisia hyökkäysreittejä. Alla oleva aikajana kokoaa ryhmän tunnetuimpia operaatioita Euroopassa ja sen lähialueilla.
| Vuosi | Kohde | Kuvaus |
|---|---|---|
| 2015 | Saksan liittopäivät (Bundestag) | laaja verkon kompromissi ja tietojen vienti |
| 2016 | Yhdysvaltain demokraattipuolue (DNC) | vaalivuodon vaikuttamisoperaatio |
| 2018 | OPCW, Haag | lähiverkkohyökkäysyritys, jonka Alankomaiden tiedustelu paljasti |
| 2020 | Norjan suurkäräjät (Storting) | sähköpostijärjestelmän murto |
| 2023-2024 | eurooppalaiset poliittiset ja sotilaalliset kohteet | Outlook-haavoittuvuuden CVE-2023-23397 hyödyntäminen |
| 2026 | Microsoft Office (CVE-2026-21509) | Operation Neusploit, RTF-pohjainen vakoilu |
Aikajana paljastaa kaavan. APT28 suosii hyökkäysreittejä, jotka hyödyntävät jokapäiväisiä työkaluja: sähköpostia, Outlookia ja Office-dokumentteja. Tämä tekee ryhmästä erityisen vaarallisen, koska se ei tarvitse harvinaisia tai eksoottisia kohteita vaan iskee siihen ohjelmistoon, joka on jo asennettu jokaiseen työasemaan.
Asiantuntijoiden arviot tilanteesta
Useat uhatiedustelua tuottavat organisaatiot ovat arvioineet vuoden 2026 alun nollapäivätilannetta. Arviot piirtävät yhtenäisen kuvan kiihtyvästä hyväksikäytöstä ja siirtymästä yritystuotteisiin.
Googlen uhatiedusteluyksikkö GTIG totesi vuoden 2025 katsauksessaan, että 90 villissä luonnossa hyväksikäytettyä nollapäivää oli korkea luku ja että lähes puolet niistä kohdistui yritystuotteisiin. Yksikön mukaan suuntaus heijastaa valtiollisten ja kaupallisten vakoilutoimijoiden kasvavaa kiinnostusta korkean arvon kohteisiin.
Google Threat Intelligence Group, 2025 Zero-Days in Review
Recorded Future korosti tammikuun 2026 haavoittuvuuskatsauksessaan, että kuukauden 23 aktiivisesti hyödynnettyä CVE:tä merkitsivät valtiollisten nollapäivien paluuta. Katsauksen mukaan APT28:n Office-haavoittuvuus oli yksi kuukauden vakavimmista, ja se osoitti, että dokumenttipohjaiset hyökkäykset ovat yhä tehokkaita.
CrowdStrikein helmikuun 2026 Patch Tuesday -analyysin mukaan MSHTML-kehyksen suojausominaisuuden ohitus CVE-2026-21513 oli aktiivisesti hyödynnetty ja julkisesti paljastettu, mikä korostaa tarvetta korjata vanhat komponentit nopeasti.
CrowdStrike, helmikuun 2026 Patch Tuesday -analyysi
Lisäksi GTIG:n toukokuussa 2026 julkaistu raportti varoitti, että hyökkääjät hyödyntävät yhä enemmän tekoälyä haavoittuvuuksien etsimisessä ja alkupääsyn hankkimisessa. Tämä viittaa siihen, että nollapäivien löytäminen ja aseistaminen voi nopeutua entisestään lähivuosina, kun automaatio yleistyy hyökkääjien työkalupakissa.
Kilpailutilanne: miten puolustusratkaisut vertautuvat
Kun nollapäivät kohdistuvat yhä useammin yritystuotteisiin, puolustusratkaisujen markkina on jakautunut useaan lähestymistapaan. Päätelaitteiden havainnointi ja reagointi eli EDR pyrkii tunnistamaan poikkeavan käyttäytymisen koneella, vaikka itse haavoittuvuutta ei tunnettaisi. Tämä on tehokas tapa havaita Covenant Gruntin kaltaisten implanttien toiminta, mutta se vaatii jatkuvaa seurantaa ja osaavaa henkilöstöä.
Toinen lähestymistapa on haavoittuvuuksien hallinta ja korjauspäivitysten automatisointi. Tämä keskittyy nopeuteen: mitä lyhyemmäksi aika haavoittuvuuden paljastumisesta korjaukseen saadaan, sitä pienempi on hyökkäysikkuna. Kolmas lähestymistapa on sähköpostin ja dokumenttien suodatus, joka pyrkii pysäyttämään aseistetut RTF-tiedostot ennen kuin ne saapuvat käyttäjälle. Yksikään näistä ei yksin riitä, vaan tehokas puolustus yhdistää ne kerroksiksi.
Käytännössä organisaatiot vertaavat ratkaisuja kolmen mittarin kautta: kuinka nopeasti ne havaitsevat poikkeaman, kuinka hyvin ne integroituvat olemassa oleviin järjestelmiin ja kuinka paljon ne vaativat henkilöresursseja. Valtiollisen toimijan, kuten APT28:n, kohdalla painopiste siirtyy ehkäisystä havaitsemiseen, koska täysin uuden nollapäivän estäminen ennakolta on äärimmäisen vaikeaa.
Viisi ennustetta loppuvuodelle 2026
- Nollapäivien hyväksikäyttö jatkaa kasvuaan. Kun vuoden 2025 luku oli 90 ja kasvua kertyi noin 15 prosenttia, koko vuoden 2026 luku todennäköisesti ylittää sadan rajan, jos alkuvuoden tahti jatkuu.
- Tekoäly nopeuttaa haavoittuvuuksien löytämistä. GTIG:n toukokuun 2026 varoituksen mukaisesti hyökkääjät automatisoivat haavoittuvuuksien etsintää, mikä lyhentää puolustajien reagointiaikaa.
- Office ja dokumenttipohjaiset hyökkäykset pysyvät suosittuina. APT28:n pitkä historia osoittaa, että jokapäiväiset työkalut ovat tehokkain reitti uhrin koneelle, eikä tämä muutu nopeasti.
- Yritystuotteet ovat kasvavan kohteen keskiössä. Lähes puolet vuoden 2025 nollapäivistä kohdistui yritystuotteisiin, ja siirtymä pois kuluttajalaitteista todennäköisesti syvenee.
- Sääntely kiristää vaatimuksia. NIS2 ja Cyber Resilience Act lisäävät painetta nopeaan haavoittuvuuksien hallintaan, ja aktiivisesti hyödynnettyjen vikojen käsittelystä tulee yhä selvemmin myös juridinen velvoite.
Näin suojaudut Office-nollapäivähaavoittuvuuksilta
Vaikka nollapäivää ei määritelmänsä mukaan voi torjua etukäteisellä korjauksella, organisaatiot voivat pienentää riskiä merkittävästi. Tärkein toimenpide on nopea korjauspäivitysten asentaminen heti kun Microsoft julkaisee korjauksen, sillä monet hyökkäykset jatkuvat pitkään sen jälkeen, kun korjaus on jo saatavilla. CVE-2026-21509:n kaltaiset KEV-luettelon viat tulee priorisoida muiden edelle.
- Estä tai rajoita RTF-tiedostojen avaaminen ja käsittely, erityisesti ulkoisista lähteistä saapuvissa liitteissä.
- Ota käyttöön Microsoftin suositellut Office-suojausasetukset, kuten suojattu näkymä ja makrojen estäminen internetistä peräisin olevissa tiedostoissa.
- Ota käyttöön päätelaitteiden havainnointi ja reagointi (EDR), joka tunnistaa poikkeavan käyttäytymisen, vaikka itse haavoittuvuutta ei tunnettaisi.
- Seuraa CISA:n KEV-luetteloa ja kansallisia varoituksia, ja priorisoi aktiivisesti hyödynnetyt haavoittuvuudet.
- Segmentoi verkko niin, että yksittäisen työaseman murto ei anna hyökkääjälle suoraa pääsyä koko ympäristöön.
- Harjoittele häiriötilanteiden hallintaa, jotta tunkeutuminen havaitaan ja eristetään nopeasti.
Suojautuminen on kerroksittaista. Yksikään yksittäinen toimenpide ei pysäytä määrätietoista valtiollista toimijaa, mutta yhdessä nämä kerrokset nostavat hyökkäyksen kustannusta ja kasvattavat todennäköisyyttä, että tunkeutuminen havaitaan ennen vahinkoa.
Aiheeseen liittyvää (Related Coverage)
- Salt Typhoon: 80 maata ja FBI:n salakuuntelu
- Supo: kybervakoilu ja katkenneet merikaapelit
- Pohjoismaiden kyberuhat: 44 häiriötä Suomessa
- Cyber Resilience Act: 15 M€ sakot
- NIS2 Suomessa: 24 tunnin ilmoitus, 10 M€ sakot
- Tietojenkalastelu: tunnista huijaus ja suojaudu
- Verkkoturvallisuus: opas digitaalisen elämän suojaamiseen
Usein kysytyt kysymykset
Mikä on CVE-2026-21509?
CVE-2026-21509 on Microsoft Officea ja Microsoft 365 -tuotteita koskeva nollapäivähaavoittuvuus, joka mahdollistaa Officen suojausominaisuuksien ohittamisen. Sitä hyödynnettiin aktiivisesti aseistetuilla RTF-tiedostoilla, ja CISA lisäsi sen Known Exploited Vulnerabilities -luetteloon 26. tammikuuta 2026.
Kuka on APT28?
APT28, tunnettu myös nimellä Fancy Bear, on valtiollinen toimija, joka länsimaisten tiedustelupalveluiden mukaan on yhdistetty Venäjän sotilastiedustelun GRU:n yksikköön 26165. Ryhmä on iskenyt yli vuosikymmenen ajan hallituksiin, puolustusteollisuuteen ja poliittisiin kohteisiin Euroopassa ja sen lähialueilla.
Mikä on nollapäivähaavoittuvuus?
Nollapäivähaavoittuvuus on tietoturva-aukko, jota hyödynnetään ennen kuin valmistajalla on saatavilla korjauspäivitys. Nimi viittaa siihen, että puolustajilla on ollut nolla päivää aikaa korjata vika ennen hyökkäystä. Googlen GTIG laski 90 tällaista aktiivisesti hyödynnettyä haavoittuvuutta vuonna 2025.
Miksi RTF-tiedostot ovat vaarallisia?
RTF eli Rich Text Format -tiedostot näyttävät tavallisilta asiakirjoilta mutta voivat sisältää upotettuja OLE-objekteja ja komentoja. Hyökkääjät käyttävät niitä piilottaakseen haitallista koodia, ja CVE-2026-21509:n tapauksessa pelkkä tiedoston avaaminen riitti käynnistämään hyökkäyksen ilman makrojen sallimista.
Koskeeko tämä suomalaisia organisaatioita?
Kyllä. Microsoft Office on käytössä lähes jokaisessa suomalaisessa hallinnon ja yrityksen työasemassa, joten hyökkäyspinta on laaja. APT28 on aiemmin iskenyt pohjoismaisiin kohteisiin, kuten Norjan suurkäräjiin vuonna 2020, ja Pohjoismaiden kohonnut geopoliittinen merkitys lisää kiinnostusta valtiollisten toimijoiden silmissä.
Miten suojaudun parhaiten?
Asenna Microsoftin korjauspäivitykset nopeasti, priorisoi CISA:n KEV-luettelon viat, rajoita RTF-tiedostojen käsittelyä, ota käyttöön EDR-suojaus ja segmentoi verkko. Yksikään yksittäinen toimenpide ei riitä, mutta kerroksittainen puolustus nostaa hyökkäyksen kustannusta ja parantaa havaitsemisen todennäköisyyttä.
Mistä löydän virallista tietoa haavoittuvuuksista?
Luotettavia lähteitä ovat Microsoftin tietoturvapäivitysopas, Google GTIG:n uhatiedustelu, Recorded Futuren haavoittuvuuskatsaukset, EU:n kyberturvallisuusvirasto ENISA sekä Malwarebytesin Patch Tuesday -analyysit.
Julkaistu 14. kesäkuuta 2026. Artikkeli perustuu Google GTIG:n, Recorded Futuren, CrowdStrikein ja Malwarebytesin julkaisemiin tietoihin vuosilta 2024-2026.
