X
Akamai übernimmt LayerX, um die Kontrolle der KI-Nutzung in jedem Browser durchzusetzen. Weitere Informationen
Akamai
Anmelden
Anmelden Close
Control Center
Zugriff auf die Akamai Plattform
Anmelden Close
Cloud Manager
Verwaltung Ihrer Cloudressourcen

Untersuchung der Lösung: Analyse der von CVE-2026-21513 im freien Internet

Maor Dahan

Feb 20, 2026

Maor Dahan

Maor Dahan

Verfasser

Maor Dahan

Maor Dahan ist Senior Security Researcher bei Akamai und verfügt über mehr als ein Jahrzehnt Erfahrung in der Cybersicherheitsbranche. Maor ist spezialisiert auf interne Strukturen von Betriebssystemen, Schwachstellenforschung und Malware-Analyse. Darüber hinaus hat er fortschrittliche Erkennungs- und Präventionsmechanismen für innovative Sicherheitsprodukte wie EDR, EPP und virtualisierungsbasierte Sicherheit entwickelt.

Teilen

Zusammenfassung

  • Am Patch Tuesday vom Februar 2026 hat Microsoft CVE-2026-21513 gepatcht, eine Sicherheitslücke, die Sicherheitsfunktionen innerhalb des MSHTML-Frameworks umgeht.
  • Die Sicherheitslücke betrifft alle Windows-Versionen, wird aktiv im freien Internet ausgenutzt und weist einen CVSS-Score von 8,8 auf.
  • Mithilfe von PatchDiff-AI führten die Forscher von Akamai eine automatisierte Analyse der Ursachen des Patches durch und korrelierten diese mit einem beobachteten Exploit im freien Internet, der dem russischen staatlich geförderten Bedrohungsakteur APT28 zugeschrieben wird.
  • Dieser Blogbeitrag enthält eine technische Aufschlüsselung von CVE-2026-21513, eine Beschreibung der Ursache und eine Analyse seiner Ausnutzung.
  • Wir haben in diesem Blogbeitrag eine Liste von Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) zusammengestellt, um diese Bedrohung abzuwehren.
Direkt zu den IoCs

Die Schwachstelle

Am Patch Tuesday von Microsoft im Februar 2026 wurden 59 Schwachstellen behoben, darunter sechs aktiv ausgenutzte Zero-Days. CVE-2026-21513 zeichnet sich durch seine aktive Ausnutzung und seine weitreichenden Auswirkungen sowie die Fähigkeit aus, die Grenzen der Browsersicherheit zu umgehen und willkürliche Dateiausführungen auszulösen.

Wir haben das Multi-Agent-System PatchDiff-AI verwendet, um CVE-2026-21513 und dessen Patch zu analysieren. PatchDiff-AI hat einen detaillierten Bericht generiert, der Einblicke in die anfällige Komponente und den Angriffsvektor enthält.

Die Grundursache

Der Bericht von PatchDiff-AI bringt CVE-2026-21513 mit einer bestimmten Funktion innerhalb von ie-frame.dll (Internet-Explorer-Frame) in Zusammenhang. Die Schwachstelle befindet sich in der Logik, die für die Handhabung der Hyperlink-Navigation verantwortlich ist. Eine unzureichende Validierung der Ziel-URL ermöglicht es dem Angreifer, Codepfade zu erreichen, die ShellExecuteExW aufrufen, wodurch lokale oder Remote-Ressourcen außerhalb des beabsichtigten Browsersicherheitskontexts ausgeführt werden können (Abbildung 1).

Die Darstellung des Codepfads in Abbildung 2 zeigt Flussunterschiede in der Funktion _AttemptShellExecuteForHlinkNavigate, die vom Patch angewendet wurde.

Um den anfälligen Codeblock auszulösen, mussten wir Internet Explorer mithilfe eines ActiveX-Formulars aufrufen, um herauszufinden, was genau den Fluss initiiert. Mit der Komponente „System.Windows.Forms.WebBrowser“ und der Anzeige auf dem Objekt „System.Windows.Forms.Form“ wurde eine HTML-Datei geladen, die mit den Modulen MSHTML und IEFRAME geparst und erstellt wurde.

Eine weitere wichtige Komponente ist die „htmlfile“, die die DOM-Schnittstelle zugänglich macht und es uns ermöglicht, sie so zu manipulieren, dass die anfällige Funktion ausgelöst wird.

Bei der Analyse des gefährdeten Codes und der ihn auslösenden Funktionsaufrufe gelangten wir zu dem folgenden Exploit.

Der Exploit

Durch die Korrelation des anfälligen Codepfads mit öffentlicher Threat Intelligence haben wir ein Beispiel identifiziert, das diese Funktionalität nutzt: document.doc.LnK.download.

Die Stichprobe wurde erstmals am 30. Januar 2026, kurz vor dem Patch Tuesday im Februar, an VirusTotal übermittelt und steht in Verbindung mit der Infrastruktur, die mit APT28, einem aktiven russischen staatlich geförderten Bedrohungsakteur, verbunden ist (Abbildung 3).

Diese Payload beinhaltet eine speziell entwickelte Windows-Verknüpfung (.lnk), die eine HTML-Datei direkt nach der Standard-LNK-Struktur einbettet.

Die LNK-Datei initiiert die Kommunikation mit der Domain wellnesscaremed[.]com, die APT28 zugeordnet ist und für die mehrstufigen Payloads der Kampagne umfassend genutzt wird.

Der Exploit nutzt verschachtelte iframes und mehrere DOM-Kontexte, um Vertrauensgrenzen zu manipulieren.

Mit dieser Technik kann der Angreifer Mark of the Web (MOTW) sowie Internet Explorer Enhanced Security Configuration (IE ESC) umgehen und den Sicherheitskontext effektiv herunterstufen, bevor der anfällige Navigationsfluss ausgelöst wird. Letztendlich ermöglicht dies dem Angreifer, einen Codepfad zu erreichen, der ShellExecuteExW aufruft, was zur Ausführung außerhalb der Browsersandbox führt (Abbildung 4).

{ h1 = new window[0].ActiveXObject('htmlfile'); };
('<html><body><iframe src=%22about:blank%22></iframe><iframe src=%22about:blank%22></iframe>%3cscript defer%3ewindow[1].document.Script.open(%22http:///%22,%22_parent%22)%3c/script%3e</body></html>'));
Abb. 4: Ein Aufruf des anfälligen Codeblocks mit der Methode „document.Script.open()“

Wenn wir dieses Skript direkt in Internet Explorer ausführen, wird die oben erwähnte Sicherheitsfunktion angezeigt, die den Nutzer warnt und die Wahrscheinlichkeit einer erfolgreichen Ausnutzung verringert (Abbildung 5).

Eine erfolgreiche Ausnutzung umgeht die Sicherheitsfunktionen und führt Code aus, der vom Angreifer kontrolliert wird. Der Screenshot in Abbildung 6 zeigt den Anfang des sehr langen Aufrufstacks, wo wir den Aufruf der anfälligen Funktion _AttemptShellExecuteForHlinkNavigate sehen können. 

Auch wenn die beobachtete Kampagne schädliche .LNK-Dateien nutzt, kann der anfällige Codepfad durch jede Komponente ausgelöst werden, die MSHTML einbettet. Daher sind zusätzliche Bereitstellungsmechanismen zu erwarten, die über LNK-basiertes Phishing hinausgehen.

Die Lösung

Microsoft führte eine strengere Validierung des Hyperlink-Protokolls ein, mit der sichergestellt wird, dass unterstützte Protokolle (wie file://, http:// und https://) innerhalb des Browserkontexts ausgeführt werden, anstatt direkt an ShellExecuteExW übergeben zu werden.

Schutz Ihrer Ressourcen

Durch die Anwendung der Microsoft-Sicherheitsupdates vom Februar 2026 wird diese Sicherheitsanfälligkeit vollständig verringert.

Die Domains von APT28 werden in den proprietären Bedrohungsinformationen von Akamai verfolgt. Akamai Hunt erkennt Aktivitätsmuster im Zusammenhang mit diesem Angriff [T1204.001, T1566.001] und benachrichtigt Kunden automatisch, wenn gefährdete Ressourcen erkannt werden.

PatchDiff-AI analysiert schnell die Ursache einer Schwachstelle, ermöglicht eine schnelle Ursachenerkennung von Schwachstellen und beschleunigt die Analyse von Ausnutzungen im freien Internet.

IOCs

 

Name

Indikator
document.doc.LnK

aefd15e3c395edd16ede7685c6e97ca0350a702ee7c8585274b457166e86b1fa

Domain

wellnesscaremed[.]com

MITRE-Techniken

T1204.001, T1566.001
   
Weitere Informationen aus der Forschung lesen
Maor Dahan

Feb 20, 2026

Maor Dahan

Maor Dahan

Verfasser

Maor Dahan

Maor Dahan ist Senior Security Researcher bei Akamai und verfügt über mehr als ein Jahrzehnt Erfahrung in der Cybersicherheitsbranche. Maor ist spezialisiert auf interne Strukturen von Betriebssystemen, Schwachstellenforschung und Malware-Analyse. Darüber hinaus hat er fortschrittliche Erkennungs- und Präventionsmechanismen für innovative Sicherheitsprodukte wie EDR, EPP und virtualisierungsbasierte Sicherheit entwickelt.

Tags

Teilen

Verwandte Blogbeiträge

CVE-2026-31979 stellt einen kritischen Bruch der Vertrauensgrenze zwischen lokalen Nutzern ohne Berechtigungen und hochprivilegierten System-Daemons dar.
CVE-2026-31979 stellt einen kritischen Bruch der Vertrauensgrenze zwischen lokalen Nutzern ohne Berechtigungen und hochprivilegierten System-Daemons dar.
Cybersicherheit
CVE-2026-31979: Die Symlink-Falle – Eskalation von Root-Berechtigungen in Himmelblau
March 20, 2026
Eine Sicherheitslücke mit hohem Schweregrad (CVE-2026-31979) wirkt sich auf bestimmte Bereitstellungen von Himmelblau aus. Sofortige Maßnahmen werden empfohlen.
Blogbeitrag lesen
Diese Operation ist ein wichtiger Schritt in Richtung eines sichereren Internets und spiegelt die koordinierten Bemühungen mehrerer Parteien wider, darunter Akamai.
Diese Operation ist ein wichtiger Schritt in Richtung eines sichereren Internets und spiegelt die koordinierten Bemühungen mehrerer Parteien wider, darunter Akamai.
Cybersicherheit
Akamai unterstützt Behörden dabei, die weltweit größten IoT-Botnets zu unterbrechen
March 19, 2026
Das US-Justizministerium hat vor Kurzem mehrere große und leistungsstarke DDoS-Botnets unterbrochen und die zugehörigen DDoS-for-hire-Dienste mithilfe von Akamai unschädlich gemacht.
Blogbeitrag lesen
Eine Flut von qualitativ hochwertigen CVEs kann das Vertrauen in den Sicherheitsforschungsprozess mindern und die Aufmerksamkeit von kritischen Schwachstellen ablenken.
Eine Flut von qualitativ hochwertigen CVEs kann das Vertrauen in den Sicherheitsforschungsprozess mindern und die Aufmerksamkeit von kritischen Schwachstellen ablenken.
Sicherheitsforschung
KI bei der Ermittlung von Schwachstellen: Ein Aufruf zur menschlichen Überwachung und Vorsicht
March 13, 2026
Erfahren Sie, warum menschliche Aufsicht für den verantwortungsvollen Einsatz von KI-Systemen bei der Identifizierung von Sicherheitslücken entscheidend ist und wie Sie False Positives vermeiden können.
Blogbeitrag lesen