Una defecto de seguridad recientemente revelada y reparada por Microsoft puede ocurrir sido explotada por el actor de amenazas patrocinado por el estado vinculado a Rusia conocido como APT28, según nuevos hallazgos de Akamai.
La vulnerabilidad en cuestión es CVE-2026-21513 (Puntuación CVSS: 8,8), una función de seguridad de entrada peligro que afecta al entorno MSHTML.
“La defecto del mecanismo de protección en MSHTML Framework permite a un atacante no facultado eludir una característica de seguridad en una red”, señaló Microsoft en su aviso sobre la defecto. Fue solucionado por el fabricante de Windows como parte de su puesta al día del martes de parches de febrero de 2026.
Sin incautación, el titán tecnológico igualmente señaló que la vulnerabilidad había sido explotada como un día cero en ataques del mundo verdadero, y le dio crédito al Microsoft Threat Intelligence Center (MSTIC), al Microsoft Security Response Center (MSRC) y al equipo de seguridad del montón de productos de Office, próximo con el Google Threat Intelligence Group (GTIG), por informarlo.
En un proscenio de ataque hipotético, un actor de amenazas podría convertir la vulnerabilidad en un pertrechos persuadiendo a la víctima para que cala un archivo HTML o un archivo de comunicación directo (LNK) desconfiado entregado a través de un enlace o como un archivo adjunto de correo electrónico.
Una vez que se abre el archivo primoroso, manipula el navegador y el manejo del Shell de Windows, lo que hace que el sistema eficaz ejecute el contenido, señaló Microsoft. Esto, a su vez, permite al atacante eludir las funciones de seguridad y potencialmente conquistar la ejecución del código.
Si acertadamente la compañía no ha compartido oficialmente ningún detalle sobre el esfuerzo de explotación de día cero, Akamai dijo que identificó un artefacto desconfiado que se cargó en VirusTotal el 30 de enero de 2026 y está asociado con la infraestructura vinculada a APT28.
Vale la pena señalar que la muestra fue señalada por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) a principios del mes pasado en relación con los ataques de APT28 que explotaban otra defecto de seguridad en Microsoft Office (CVE-2026-21509, puntuación CVSS: 7,8).
La compañía de infraestructura web dijo que CVE-2026-21513 tiene su origen en la método adentro de “ieframe.dll” que maneja la navegación de hipervínculos, y que es el resultado de una subsistencia insuficiente de la URL de destino, lo que permite que la entrada controlada por el atacante calibre rutas de código que invocan ShellExecuteExW. Esto, a su vez, permite la ejecución de capital locales o remotos fuera del contexto de seguridad previsto del navegador.
“Esta carga útil implica un comunicación directo de Windows (LNK) especialmente diseñado que incrusta un archivo HTML inmediatamente a posteriori de la estructura LNK estereotipado”, dijo el investigador de seguridad Maor Dahan. “El archivo LNK inicia la comunicación con el dominio wellnesscaremed(.)com, que se atribuye a APT28 y ha sido ampliamente utilizado para las cargas aperos de varias etapas de la campaña. El exploit aprovecha iframes anidados y múltiples contextos DOM para manipular los límites de confianza”.
Akamai señaló que la técnica hace posible que un atacante eluda Mark-of-the-Web (MotW) y la Configuración de seguridad mejorada de Internet Explorer (IE ESC), lo que lleva a una degradación del contexto de seguridad y, en última instancia, facilita la ejecución de código desconfiado fuera de la zona de pruebas del navegador a través de ShellExecuteExW.
“Si acertadamente la campaña observada aprovecha archivos LNK maliciosos, la ruta del código endeble puede activarse a través de cualquier componente que incorpore MSHTML”, añadió la compañía. “Por lo tanto, se deben esperar mecanismos de entrega adicionales más allá del phishing basado en LNK”.
