X
Akamai acquisirà LayerX per imporre il controllo sull'uso dell'IA su qualsiasi browser. Visualizza dettagli
Akamai
Login
Login Close
Control Center
Accesso alla piattaforma Akamai
Login Close
Cloud Manager
Gestione delle risorse cloud

Dentro la correzione: analisi della vulnerabilità CVE-2026-21513 sfruttata in rete

Maor Dahan

Feb 20, 2026

Maor Dahan

Maor Dahan

scritto da

Maor Dahan

Maor Dahan svolge il ruolo di Senior Security Researcher per Akamai e vanta un’esperienza pluridecennale nel settore della cybersecurity. Maor è specializzato nei componenti interni dei sistemi operativi, nelle ricerche sulle vulnerabilità e nelle analisi di malware. Inoltre, si occupa della progettazione e dello sviluppo di avanzati meccanismi di rilevamento e prevenzione per prodotti di sicurezza innovativi, come i sistemi EDR, i prodotti EPP e le soluzioni per la sicurezza basate sulla virtualizzazione.

Condividi

Analisi riassuntiva

  • Nella Patch Tuesday di febbraio 2026, Microsoft ha rilasciato una patch per la vulnerabilità CVE-2026-21513, che elude le funzioni di sicurezza all'interno del sistema MSHTML
  • e interessa tutte le versioni di Windows, viene sfruttata attivamente in rete e ha un punteggio CVSS di 8,8.
  • Tramite PatchDiff-AI, i ricercatori di Akamai hanno eseguito l'analisi automatizzata della causa principale della patch e l'hanno correlata con un exploit in rete, che è stato attribuito al gruppo APT28 sostenuto dal governo russo.
  • Questo post del blog fornisce un'analisi tecnica della vulnerabilità CVE-2026-21513, una descrizione della sua causa principale e un esame del suo sfruttamento.
  • In questo blog, abbiamo incluso un elenco di indicatori di compromissione (IoC) per aiutarvi a difendervi da questa minaccia.
Passiamo agli IoC

La vulnerabilità

La Patch Tuesday di febbraio 2026 di Microsoft ha risolto 59 vulnerabilità, tra cui sei attacchi zero-day sfruttati attivamente in rete. La vulnerabilità CVE-2026-21513 si distingue per il suo sfruttamento attivo, l'elevato impatto e la capacità di superare i limiti di sicurezza dei browser e di eseguire file arbitrari.

Abbiamo utilizzato il sistema multi-agente PatchDiff-AI per analizzare la vulnerabilità CVE-2026-21513 e la relativa patch. PatchDiff-AI ha generato un rapporto dettagliato che rivela informazioni dettagliate sul componente vulnerabile e sul vettore di attacco.

La causa principale

Il rapporto generato dal sistema PatchDiff-AI collega la vulnerabilità CVE-2026-21513 ad una funzione specifica presente in ieframe.dll (frame in Internet Explorer). La vulnerabilità risiede nella logica responsabile della gestione della navigazione dei collegamenti ipertestuali. Una verifica non adeguata dell'URL di destinazione consente all'input controllato dal criminale di raggiungere i percorsi di codice che richiamano ShellExuteExW, abilitando l'esecuzione di risorse locali o remote al di fuori del contesto di sicurezza del browser previsto (Figura 1).

La visualizzazione del percorso del codice nella Figura 2 mostra le differenze di flusso presenti nella funzione _AttemptShellExecuteForHlinkNavigate applicata dalla patch.

Per attivare il blocco di codice vulnerabile, era necessario richiamare Internet Explorer utilizzando un modulo ActiveX per monitorare esattamente ciò che veniva avviato dal flusso. Utilizzando il componente di "System.Windows.Forms.WebBrowser" e visualizzandolo nell'oggetto "System.Windows.Forms.Form", abbiamo caricato un file HTML che è stato analizzato e costruito utilizzando i moduli MSHTML e IEFRAME.

Un altro componente importante è "htmlfile", che espone l'interfaccia DOM e ci consente di manipolarla in modo da attivare la funzione vulnerabile.

Durante l'analisi del codice vulnerabile e delle chiamate di funzione in grado di attivarlo, abbiamo raggiunto l'exploit riportato di seguito

L'exploit

Correlando il percorso di codice vulnerabile con l'intelligence sulle minacce pubbliche, abbiamo identificato un campione che utilizzava questa funzionalità: document.doc.LnK.download.

Il campione è stato presentato per la prima volta a VirusTotal il 30 gennaio 2026 (poco prima della Patch Tuesday di febbraio) ed è stato associato all'infrastruttura collegata al gruppo APT28 sostenuto dal governo russo (Figura 3).

Questo payload prevede un collegamento di Windows (.lnk) creato appositamente che incorpora un file HTML immediatamente dopo la struttura LNG standard.

Il file LNK avvia la comunicazione con il dominio wellnesscaremed[.]com, che è attribuito al gruppo APT28 e che è stato ampiamente utilizzato per i payload multifase della campagna.

L'exploit sfrutta gli iframe nidificati e più contesti DOM per manipolare i limiti di fiducia.

Questa tecnica consente ai criminali di ignorare MotW (Mark of the Web) e IE ESC (Internet Explorer Enhanced Security Configuration), riducendo effettivamente il livello di sicurezza prima di attivare il flusso di navigazione vulnerabile. In tal modo, i contenuti controllati dai criminali possono raggiungere un percorso di codice che richiama il comando ShellExecuteExW e viene eseguito al di fuori della sandbox del browser (Figura 4).

{ h1 = new window[0].ActiveXObject('htmlfile'); };
('<html><body><iframe src=%22about:blank%22></iframe><iframe src=%22about:blank%22></iframe>%3cscript defer%3ewindow[1].document.Script.open(%22http:///%22,%22_parent%22)%3c/script%3e</body></html>'));
Fig. 4. Chiamata al blocco di codice vulnerabile tramite il metodo "document.Script.open()"

Se questo script viene eseguito direttamente in Internet Explorer, verrà visualizzata la funzione di sicurezza menzionata in precedenza, che avvisa l'utente e riduce le possibilità di sfruttare la vulnerabilità in modo corretto (Figura 5).

Se la vulnerabilità viene sfruttata in modo corretto, le funzioni di sicurezza vengono ignorate e viene eseguito il codice controllato dai criminali. La schermata nella Figura 6 mostra la cima della lunghissima serie di chiamate, in cui è possibile notare la chiamata alla funzione vulnerabile _AttemptShellExecuteForHlinkNavigate

Mentre la campagna osservata sfrutta i file .LNK dannosi, il percorso del codice vulnerabile può essere attivato tramite qualsiasi componente che incorpora MSHTML. Pertanto, sono previsti ulteriori meccanismi di delivery oltre il phishing basato su LNK.

La correzione

Microsoft ha introdotto una verifica più rigorosa per il protocollo dei collegamenti ipertestuali che garantisce l'esecuzione dei protocolli supportati (come file://, http:// e https://) all'interno del contesto del browser invece di essere passati direttamente al comando ShellExecuteExW.

Protezione delle risorse

L'applicazione degli aggiornamenti di sicurezza di febbraio 2026 da parte di Microsoft risolve completamente questa vulnerabilità.

I domini del gruppo APT28 sono monitorati nell'intelligence proprietaria sulle minacce di Akamai. Akamai Hunt rileva e avvisa i modelli di attività associati a questo attacco [T1204.001, T1566.001] e informa automaticamente i clienti quando vengono rilevate risorse vulnerabili.

PatchDiff-AI analizza velocemente la causa principale di una vulnerabilità, consentendo di identificare in modo rapido cosa l'ha originata e accelerando l'analisi degli exploit in rete.

IoC

 

Nome

Indicatore
document.doc.LnK

aefd15e3c395edd16ede7685c6e97ca0350a702ee7c8585274b457166e86b1fa

Dominio

wellnesscaremed[.]com

Teniche MITRE

T1204.001, T1566.001
   
Leggete altre ricerche
Maor Dahan

Feb 20, 2026

Maor Dahan

Maor Dahan

scritto da

Maor Dahan

Maor Dahan svolge il ruolo di Senior Security Researcher per Akamai e vanta un’esperienza pluridecennale nel settore della cybersecurity. Maor è specializzato nei componenti interni dei sistemi operativi, nelle ricerche sulle vulnerabilità e nelle analisi di malware. Inoltre, si occupa della progettazione e dello sviluppo di avanzati meccanismi di rilevamento e prevenzione per prodotti di sicurezza innovativi, come i sistemi EDR, i prodotti EPP e le soluzioni per la sicurezza basate sulla virtualizzazione.

Tag

Condividi

Post del blog correlati

La vulnerabilità CVE-2026-31979 rappresenta un'interruzione critica del limite di fiducia tra utenti locali senza privilegi e daemon di sistema con privilegi elevati.
La vulnerabilità CVE-2026-31979 rappresenta un'interruzione critica del limite di fiducia tra utenti locali senza privilegi e daemon di sistema con privilegi elevati.
Cybersicurezza
CVE-2026-31979: La trappola di Symlink: escalation dei privilegi in Himmelblau
March 20, 2026
Una vulnerabilità molto grave (CVE-2026-31979) influisce su alcune implementazioni di Himmelblau, pertanto è richiesta un'azione immediata.
Leggete il blog
Questa operazione rappresenta un passo importante verso una connessione Internet più sicura e riflette gli sforzi coordinati di più parti, tra cui quelli di Akamai.
Questa operazione rappresenta un passo importante verso una connessione Internet più sicura e riflette gli sforzi coordinati di più parti, tra cui quelli di Akamai.
Cybersicurezza
Akamai aiuta le forze dell'ordine a bloccare le botnet IoT più grandi del mondo
March 19, 2026
Il Dipartimento di giustizia (DOJ) degli Stati Uniti ha recentemente bloccato diverse botnet DDoS di grandi dimensioni e ha interrotto i relativi servizi DDoS-for-hire con l'aiuto di Akamai.
Leggete il blog
Un numero eccessivo di CVE di bassa qualità può erodere la fiducia nel processo della ricerca sulla sicurezza e distogliere l'attenzione dalle vulnerabilità critiche.
Un numero eccessivo di CVE di bassa qualità può erodere la fiducia nel processo della ricerca sulla sicurezza e distogliere l'attenzione dalle vulnerabilità critiche.
Ricerca sulla sicurezza
L'intelligenza artificiale per individuare le vulnerabilità: servono la supervisione umana e un'estrema cautela
March 13, 2026
Scoprite perché la supervisione umana è fondamentale per l'uso responsabile dei sistemi basati sull'intelligenza artificiale allo scopo di identificare le vulnerabilità della sicurezza ed evitare falsi positivi.
Leggete il blog