微软已经确认,这个漏洞在现实攻击中已被用作0Day漏洞进行利用。公司对微软威胁情报中心(MSTIC)、微软安全响应中心(MSRC)、Office产品组安全团队以及谷歌威胁情报小组(GTIG)提供的报告表示感谢。
Akamai公司最新研究发现,与俄罗斯存在关联的国家级威胁组织APT28,可能已经利用了微软近期修补的一个安全漏洞展开攻击。该漏洞编号为CVE-2026-21513,属于MSHTML框架安全功能绕过漏洞,CVSS评分为8.8,危害等级为高危。
微软在漏洞公告中指出:“MSHTML框架的保护机制失效,可使未经授权的攻击者通过网络绕过安全功能。”微软已在2026年2月周二补丁更新中修复该漏洞。但同时微软也确认,该漏洞在现实攻击中已被作为0Day漏洞利用,并感谢了微软威胁情报中心(MSTIC)、微软安全响应中心(MSRC)、Office产品组安全团队及谷歌威胁情报小组(GTIG)的报告。
攻击技术分析
在典型的攻击场景中,攻击者会诱骗受害者打开通过链接或邮件附件传送的恶意HTML文件或快捷方式(LNK)文件。微软指出,当精心构造的文件被打开后,会操纵浏览器和Windows Shell的处理流程,导致操作系统执行恶意内容,从而使攻击者绕过安全功能并可能实现代码执行。
虽然微软未正式公布0Day利用的具体细节,但Akamai表示已识别出2026年1月30日上传至VirusTotal的恶意样本,该样本与APT28关联的基础设施存在联系。值得注意的是,乌克兰计算机应急响应小组(CERT-UA)上月已将该样本标记为APT28利用另一个微软Office漏洞(CVE-2026-21509,CVSS评分:7.8)实施攻击的关联样本。
漏洞利用机制
Akamai分析指出,CVE-2026-21513漏洞源于“ieframe.dll”中处理超链接导航的逻辑缺陷。由于对目标URL验证不足,导致攻击者控制的输入可到达调用ShellExecuteExW的代码路径,从而在预期浏览器安全上下文之外执行本地或远程资源。
安全研究员Maor Dahan表示:“该攻击载荷包含一个精心构造的Windows快捷方式(LNK),在标准LNK结构后直接嵌入HTML文件。LNK文件会启动与wellnesscaremed[.]com域名的通信,该域名隶属于APT28,已被广泛用于攻击活动的多阶段载荷分发。漏洞利用通过嵌套iframe和多DOM上下文操纵信任边界。”
安全防护绕过
Akamai强调,该技术可使攻击者绕过网络标记(MotW)和Internet Explorer增强安全配置(IE ESC),导致安全上下文降级,最终通过ShellExecuteExW在浏览器沙箱外执行恶意代码。公司补充说明:“虽然已观测到的攻击活动主要利用恶意LNK文件,但任何嵌入MSHTML的组件都可能触发漏洞代码路径。因此,除基于LNK的钓鱼攻击外,还应防范其他可能的传播方式。”
