Synthèse
- Lors du Patch Tuesday de février 2026, Microsoft a corrigé CVE-2026-21513, une vulnérabilité permettant de contourner les fonctionnalités de sécurité au sein du framework MSHTML.
- Cette vulnérabilité affecte toutes les versions de Windows, est activement exploitée « in-the-wild » et présente un score CVSS de 8,8.
- À l'aide de PatchDiff-AI, les chercheurs d'Akamai ont effectué une analyse automatisée de la cause première du correctif et l'ont mise en corrélation avec l'observation d'une exploitation « in-the-wild » attribuée à l'acteur malveillant APT28, soutenu par l'État russe.
- Cet article de blog fournit une analyse technique de CVE-2026-21513, une description de sa cause première et une analyse de son exploitation.
- Nous avons inclus une liste d'indicateurs de compromission (IOC) dans cet article de blog pour aider à la défense contre cette menace.
La vulnérabilité
Le Patch Tuesday de février 2026 de Microsoft a corrigé 59 vulnérabilités, dont six Zero Day activement exploitées. CVE-2026-21513 se caractérise par une exploitation active, un impact élevé et la possibilité de contourner les limites de sécurité du navigateur et de déclencher l'exécution arbitraire de fichiers.
Nous avons utilisé le système multi-agent dénommé PatchDiff-Ai pour analyser CVE-2026-21513 et son correctif. PatchDiff-AI a produit un rapport détaillé qui fournit des informations sur le composant vulnérable et le vecteur d'attaque.
Cause première
Le rapport de PatchDiff-AI relie CVE-2026-21513 à une fonction spécifique au sein d'ieframe.dll (cadre Internet Explorer). La vulnérabilité réside dans la logique chargée de gérer la navigation par hyperlien. Une validation insuffisante de l'URL cible permet à des entrées contrôlées par l'attaquant d'atteindre des chemins de code qui appellent ShellExecuteExW, permettant ainsi l'exécution de ressources locales ou distantes en dehors du contexte de sécurité prévu du navigateur (Figure 1).
La visualisation du chemin d'exécution illustrée en Figure 2 met en évidence les différences de flux dans la fonction _AttemptShellExecuteForHlinkNavigate, telles qu'elles résultent de l'application du correctif.
Pour déclencher le bloc de code vulnérable, nous avons dû lancer Internet Explorer via un formulaire ActiveX afin d'identifier précisément ce qui déclenche le flux. En utilisant le composant « System.Windows.Forms.WebBrowser » et en l'affichant sur l'objet « System.Windows.Forms.Form », nous avons chargé un fichier HTML qui a été analysé et construit à l'aide des modules MSHTML et IEFRAME.
Un autre composant important est « htmlfile », qui expose l'interface DOM et nous permet de la manipuler de manière à déclencher la fonction vulnérable.
En explorant le code vulnérable et les appels de fonction qui le déclenchent, nous avons découvert l'exploitation suivante.
L'exploitation
En recoupant le chemin du code vulnérable avec les informations publiques sur les menaces, nous avons identifié un échantillon qui exploitait cette fonctionnalité : document.doc.LnK.download.
Cet échantillon a été soumis pour la première fois à VirusTotal le 30 janvier 2026, peu avant le Patch Tuesday de février, et est associé à une infrastructure liée à APT28, un acteur malveillant actif soutenu par l'État russe (Figure 3).
Cette charge utile comprend un raccourci Windows (.lnk) spécialement conçu qui intègre un fichier HTML immédiatement après la structure LNK standard.
Le fichier LNK établit une communication avec le domaine wellnesscaremed[.]com, attribué à APT28 et largement utilisé pour les charges utiles en plusieurs étapes de la campagne.
L'exploit repose sur l'utilisation d'iframes imbriqués et de plusieurs contextes DOM pour manipuler les limites de confiance.
Cette technique permet à l'attaquant de contourner Mark of the Web (MotW) et Internet Explorer Enhanced Security Configuration (IE ESC), ce qui revient à abaisser le niveau de sécurité avant de déclencher le flux de navigation vulnérable. En fin de compte, elle permet au contenu contrôlé par l'attaquant d'atteindre un chemin d'exécution qui appelle ShellExecuteExW, ce qui entraîne une exécution en dehors du sandbox du navigateur (Figure 4).
{ h1 = new window[0].ActiveXObject('htmlfile'); };
('<html><body><iframe src=%22about:blank%22></iframe><iframe src=%22about:blank%22></iframe>%3cscript defer%3ewindow[1].document.Script.open(%22http:///%22,%22_parent%22)%3c/script%3e</body></html>'));Si nous exécutons ce script directement dans Internet Explorer, nous sommes confrontés à la fonctionnalité de sécurité mentionnée ci-dessus, qui avertit l'utilisateur et réduit les chances de réussite de l'exploitation (Figure 5).
Une exploitation réussie permet de contourner les fonctionnalités de sécurité et d'exécuter du code contrôlé par l'attaquant. La capture d'écran de la Figure 6 montre le sommet de la pile d'appels, très longue, où l'on peut voir l'appel à la fonction vulnérable _AttemptShellExecuteForHlinkNavigate.
Bien que la campagne observée exploite des fichiers .LNK malveillants, le chemin de code vulnérable peut être déclenché via n'importe quel composant intégrant MSHTML. Il faut donc s'attendre à l'apparition de nouveaux vecteurs d'attaque, au-delà de l'hameçonnage basé sur LNK.
Le correctif
Microsoft a introduit une validation plus stricte du protocole des hyperliens qui garantit que les protocoles pris en charge (tels que file://, http:// et https://) s'exécuteront dans le contexte du navigateur plutôt que d'être transmis directement à ShellExecuteExW.
Protection de vos ressources
L'application des mises à jour de sécurité de Microsoft de février 2026 atténue complètement cette vulnérabilité.
Les domaines d'APT28 sont suivis dans les informations sur les menaces propriétaires d'Akamai. Akamai Hunt détecte et signale les modèles d'activité associés à cette attaque [T1204.001, T1566.001] et avertit automatiquement les clients en cas de détection de ressources vulnérables.
PatchDiff-AI analyse rapidement la cause première d'une vulnérabilité, ce qui facilite son identification et accélère l'analyse des exploitations « in-the-wild ».
IOC
Nom |
Indicateur |
|---|---|
| document.doc.LnK | aefd15e3c395edd16ede7685c6e97ca0350a702ee7c8585274b457166e86b1fa |
Domaine |
wellnesscaremed[.]com |
Techniques MITRE |
T1204.001, T1566.001 |
Balises
