根据安全厂商Akamai的最新研究,与俄罗斯有关联的知名国家级威胁组织APT28,可能已利用微软在2026年2月修补的一个高危安全漏洞发起攻击。这个漏洞编号为CVE-2026-21513,CVSS评分为8.8分,其本质是MSHTML框架中的一个安全功能绕过漏洞。
根据微软发布的漏洞公告,该问题在于“MSHTML框架的保护机制失效,可使未经授权的攻击者通过网络绕过安全功能”。微软已在其2026年2月的“补丁星期二”安全更新中修复了此漏洞。然而,微软也同时确认,该漏洞在现实世界中已被作为0Day利用,并对微软威胁情报中心、微软安全响应中心、Office产品组安全团队以及谷歌威胁情报小组的报告表示感谢。
攻击技术分析
在典型的攻击场景中,攻击者会精心构造一个陷阱,诱骗受害者打开通过链接或邮件附件传送的恶意文件。这种文件可能是HTML格式,也可能是一个Windows快捷方式(LNK)文件。微软指出,当受害者打开这个经过特殊构造的文件后,会操纵浏览器和Windows Shell的处理流程,导致操作系统最终执行恶意内容。这使得攻击者能够绕过系统预设的安全功能,并可能实现进一步的代码执行。
虽然微软没有正式公布这次0Day利用的具体技术细节,但Akamai表示,他们已经识别出一个在2026年1月30日上传至VirusTotal的恶意样本,并且该样本与已知的APT28基础设施存在关联。一个值得注意的关联点是,乌克兰计算机应急响应小组(CERT-UA)在上月初就将该样本标记为APT28利用另一个微软Office漏洞(CVE-2026-21509,CVSS评分:7.8)进行攻击的关联样本。
漏洞利用机制
Akamai的深入分析指出,CVE-2026-21513漏洞的根源在于“ieframe.dll”中处理超链接导航的逻辑存在缺陷。由于对目标URL的验证不足,导致攻击者可以控制输入数据,并使其进入调用ShellExecuteExW函数的代码路径。这样一来,攻击者就能在浏览器预期的安全上下文之外,执行本地或远程的资源,从而突破了安全边界。
安全研究员Maor Dahan对此解释道:“该攻击载荷包含一个精心构造的Windows快捷方式(LNK)文件,其特殊之处在于,标准LNK结构之后直接嵌入了一个HTML文件。这个LNK文件在执行时会尝试与wellnesscaremed[.]com域名进行通信,而该域名已被归属为APT28,并广泛用于其攻击活动的多阶段载荷分发。整个漏洞利用过程通过嵌套iframe和操纵多个DOM上下文,巧妙地混淆了信任边界。”
安全防护绕过
Akamai强调,这种利用技术具有相当的威胁性,因为它能使攻击者绕过“网络标记”(MotW)和“Internet Explorer增强安全配置”(IE ESC)等关键防护机制。其后果是导致安全上下文被降级,最终通过ShellExecuteExW函数在浏览器沙箱之外执行恶意代码。
该公司的报告补充说明:“虽然目前已观测到的攻击活动主要利用了恶意的LNK文件进行传播,但理论上任何嵌入了MSHTML引擎的组件都可能触发这条存在漏洞的代码路径。因此,安全团队在防护时,除了要警惕基于LNK文件的钓鱼攻击,还应该防范其他可能的文件格式或传播方式。” 对于企业安全运维和渗透测试团队而言,理解这种绕过手法的原理对于构建深度防御策略至关重要。
参考来源:
APT28 Tied to CVE-2026-21513 MSHTML 0-Day Exploited Before Feb 2026 Patch Tuesday
https://thehackernews.com/2026/03/apt28-tied-to-cve-2026-21513-mshtml-0.html | 
发表于 11 小时前
|
查看: 2|
回复: 0
