Resumen ejecutivo
- En el Patch Tuesday de febrero de 2026, Microsoft aplicó un parche a la CVE-2026-21513, una vulnerabilidad de omisión de características de seguridad dentro del marco de MSHTML.
- La vulnerabilidad afecta a todas las versiones de Windows, se explota de forma activa en su entorno natural y tiene una puntuación CVSS de 8,8.
- Con PatchDiff-AI, los investigadores de Akamai realizaron un análisis automatizado de la causa raíz del parche y lo correlacionaron con un ataque observado en el entorno natural atribuido al atacante patrocinado por el estado ruso APT28.
- Esta entrada de blog proporciona un desglose técnico de la CVE-2026-21513, una descripción de su causa raíz y un análisis de su explotación.
- Hemos incluido una lista de indicadores de compromiso (IOC) en esta entrada de blog para ayudar en la defensa contra esta amenaza.
La vulnerabilidad
El Patch Tuesday de febrero de 2026 de Microsoft se dirigió a 59 vulnerabilidades, incluidos seis de los días cero explotados activamente. La CVE-2026-21513 destaca por su explotación activa, su alto impacto y su capacidad para omitir los límites de seguridad del navegador y activar la ejecución de archivos arbitrarios.
Utilizamos el sistema multiagente llamado PatchDiff-AI para analizar la CVE-2026-21513 y su parche. PatchDiff-AI ha generado un informe detallado que revela información sobre el componente vulnerable y el vector de ataque.
La causa principal
El informe de PatchDiff-AI vincula la CVE-2026-21513 a una función específica dentro de ieframe.dll (marco de Internet Explorer). La vulnerabilidad reside en la lógica responsable de gestionar la navegación de hipervínculos. La validación insuficiente de la URL de destino permite que la entrada controlada por el atacante alcance rutas de código que invocan ShellExecuteExW, lo que permite la ejecución de recursos locales o remotos fuera del contexto de seguridad previsto del explorador (Figura 1).
La visualización de la ruta al código de la Figura 2 muestra las diferencias de flujo en la función _AttemptShellExecuteForHlinkNavigate aplicada por el parche.
Para desencadenar el bloque de código vulnerable, necesitábamos invocar al Internet Explorer mediante un formulario ActiveX para realizar un seguimiento de qué inicia exactamente el flujo. Usando el componente de "System.Windows.Forms.WebBrowser" y mostrándolo en el objeto "System.Windows.Forms.Form", cargamos un archivo HTML analizado y construido usando los módulos MSHTML e IEFRAME.
Otro componente importante es el "htmlfile", que expone la interfaz DOM y nos permite manipularla de manera que se active la función vulnerable.
Mientras explorábamos el código vulnerable y las llamadas a funciones que lo activaban, nos encontramos con la siguiente explotación.
La explotación
Al correlacionar la ruta del código vulnerable con la inteligencia contra ciberamenazas públicas, identificamos un ejemplo que estaba aprovechando esta funcionalidad: document.doc.LnK.download.
La muestra fue enviada por primera vez a VirusTotal el 30 de enero de 2026, poco antes del Patch Tuesday de febrero, y está asociada con la infraestructura vinculada al APT28, un activo atacante patrocinado por el estado ruso (Figura 3).
Esta carga útil afecta a un acceso directo de Windows (.lnk) especialmente diseñado que incrusta un archivo HTML inmediatamente después de la estructura LNK estándar.
El archivo LNK inicia la comunicación con el dominio wellnesscaremed[.]com, que se atribuye a APT28 y se ha utilizado ampliamente para las cargas útiles multietapa de la campaña.
La explotación aprovecha los iframes anidados y varios contextos DOM para manipular los límites de confianza.
Esta técnica permite al atacante eludir la Mark of the Web (MotW) y la configuración de seguridad mejorada de Internet Explorer (IE ESC), lo que degrada el contexto de seguridad antes de activar el flujo de navegación vulnerable. En última instancia, esto permite que el contenido controlado por el atacante alcance una ruta de acceso de código que invoque ShellExecuteExW, lo que lleva a la ejecución fuera del entorno de pruebas del navegador (Figura 4).
{ h1 = new window[0].ActiveXObject('htmlfile'); };
('<html><body><iframe src=%22about:blank%22></iframe><iframe src=%22about:blank%22></iframe>%3cscript defer%3ewindow[1].document.Script.open(%22http:///%22,%22_parent%22)%3c/script%3e</body></html>'));Si ejecutamos este script directamente en Internet Explorer, encontraremos la característica de seguridad mencionada anteriormente, que advierte al usuario y reduce las posibilidades de éxito del ataque (Figura 5).
Un ataque acertado eludirá las características de seguridad y ejecutará código controlado por el atacante. La captura de pantalla de la Figura 6 muestra la parte superior de la pila de llamadas, una muy larga, donde podemos ver la llamada a la función vulnerable _AttemptShellExecuteForHlinkNavigate.
Mientras que la campaña observada aprovecha archivos .LNK maliciosos, la ruta de código vulnerable se puede activar a través de cualquier componente que incruste MSHTML. Por ello, deberían esperarse mecanismos de entrega adicionales más allá del phishing basado en LNK.
La solución
Microsoft introdujo una validación más estricta al protocolo de hipervínculo que garantiza que los protocolos compatibles (como file://, http:// y https://) se ejecuten dentro del contexto del explorador en lugar de pasar directamente al ShellExecuteExW.
Proteger sus activos
La aplicación de las actualizaciones de seguridad de febrero de 2026 de Microsoft mitiga por completo esta vulnerabilidad.
Los dominios de APT28 se rastrean en la inteligencia contra ciberamenazas propiedad de Akamai. Akamai Hunt detecta y alerta los patrones de actividad asociados a este ataque [T1204.001, T1566.001] e informa automáticamente a los clientes cuando se detectan activos vulnerables.
PatchDiff-AI analiza rápidamente la causa raíz de una vulnerabilidad, lo que permite identificar rápidamente la causa raíz de las vulnerabilidades y acelerar el análisis de los ataques en su entorno natural.
IOC
Nombre |
Indicador |
|---|---|
| document.doc.LnK | aefd15e3c395edd16ede7685c6e97ca0350a702ee7c8585274b457166e86b1fa |
Dominio |
wellnesscaremed[.]com |
Técnicas de MITRE |
T1204.001, T1566.001 |
Etiquetas
