요약 보고서
- 2026년 2월 패치 화요일에서 Microsoft는 MSHTML 프레임워크 내 보안 기능 우회 취약점인 CVE-2026-21513을 패치했습니다.
- 이 취약점은 모든 Windows 버전에 영향을 미치며, 실제 환경에서 활발히 악용되고 있고, CVSS 점수는 8.8입니다.
- Akamai 연구진은 PatchDiff-AI를 활용해 해당 패치에 대한 자동화된 근본 원인 분석을 수행하고, 러시아 국가 지원 공격자 APT28이 실제 환경에서 활용한 악용과의 연관성을 확인했습니다.
- 이 블로그 게시물에서는 CVE-2026-21513의 기술적 분석, 근본 원인 설명, 악용 방식에 대한 분석을 제공합니다.
- 이번 블로그 게시물에는 이 위협에 대한 방어에 도움이 될 수 있는 감염 지표(IOC) 목록이 포함되어 있습니다.
취약점
Microsoft는 2026년 2월 패치 화요일에서 6개의 실제 환경에서 악용 중인 제로데이를 포함해 총 59개의 취약점을 패치했습니다. CVE-2026-21513은 실제 악용 사례, 높은 영향도, 브라우저 보안 경계를 우회해 임의 파일 실행을 유발할 수 있다는 점에서 특히 주목됩니다.
Akamai는 PatchDiff-AI라는 멀티 에이전트 시스템을 활용해 CVE-2026-21513과 해당 패치를 분석했습니다. PatchDiff-AI는 취약한 구성요소와 공격 기법에 대한 인사이트를 제공하는 상세 보고서를 생성했습니다.
근본 원인
PatchDiff-AI 분석 결과, CVE-2026-21513은 ieframe.dll(Internet Explorer 프레임) 내 특정 함수와 관련된 것으로 확인되었습니다. 이 취약점은 하이퍼링크 탐색을 처리하는 로직에 존재합니다. 대상 URL에 대한 검증이 충분하지 않아 공격자가 제어하는 인풋이 ShellExecuteExW를 호출하는 코드 경로로 전달되며, 의도된 브라우저 보안 컨텍스트를 벗어나 로컬 또는 원격 리소스 실행이 가능해집니다(그림 1).
그림 1: 취약한 코드 경로를 정확히 찾아내는 PatchDiff-AI 보고서 스니펫
그림 2의 코드 경로 시각화는 패치 적용 후 _AttemptShellExecuteForHlinkNavigate 함수의 흐름 차이를 보여줍니다.
그림 2: 패치 전과 후의 취약한 기능을 비교하는 PatchDiff-AI
취약한 코드 블록을 트리거하기 위해 ActiveX 폼을 사용해 Internet Explorer를 호출하고, 해당 흐름을 유발하는 지점을 추적했습니다. “System.Windows.Forms.WebBrowser” 구성요소를 사용해 “System.Windows.Forms.Form” 오브젝트에 표시한 뒤, MSHTML 및 IEFRAME 모듈로 파싱되고 구성된 HTML 파일을 로드했습니다.
또 다른 중요한 구성요소는 DOM 인터페이스를 노출하고 이를 조작해 취약한 함수를 트리거할 수 있게 하는 “htmlfile”입니다.
취약한 코드와 이를 호출하는 함수 흐름을 분석하는 과정에서 다음과 같은 악용으로 이어졌습니다.
악용 방식
취약한 코드 경로를 공개 위협 인텔리전스와 연계해 분석한 결과, 해당 기능을 악용한 샘플 document.doc.LnK.download를 확인했습니다.
이 샘플은 2026년 1월 30일, 2월 패치 화요일 직전에 VirusTotal에 처음 제출되었으며, 러시아 국가 지원의 공격자 APT28과 연관된 인프라와 연결되어 있습니다(그림 3).
그림 3: APT28의 악용에 대한 VirusTotal 스크린샷
해당 페이로드는 표준 LNK 구조 뒤에 HTML 파일을 삽입한 특수 제작된 Windows 바로가기(.lnk)를 포함합니다.
이 LNK 파일은 wellnesscaremed[.]com 도메인과 통신을 시작하며, 해당 도메인은 APT28과 관련되어 있고 이번 캠페인의 다단계 페이로드에서 광범위하게 사용되었습니다.
이 악용 기법은 중첩된 iframe과 여러 DOM 맥락을 활용해 신뢰 경계를 조작합니다.
이를 통해 공격자는 Mark of the Web(MotW)과 Internet Explorer Enhanced Security Configuration(IE ESC)을 우회하고, 취약한 탐색 흐름을 트리거하기 전에 보안 컨텍스트를 낮춥니다. 결과적으로 공격자가 제어하는 콘텐츠가 ShellExecuteExW를 호출하는 코드 경로에 도달하게 되어 브라우저 샌드박스 밖에서 실행이 이루어집니다(그림 4).
{ h1 = new window[0].ActiveXObject('htmlfile'); };
('<html><body><iframe src=%22about:blank%22></iframe><iframe src=%22about:blank%22></iframe>%3cscript defer%3ewindow[1].document.Script.open(%22http:///%22,%22_parent%22)%3c/script%3e</body></html>'));이 스크립트를 Internet Explorer에서 직접 실행하면 앞서 언급한 보안 기능이 작동해 사용자에게 경고가 표시되고 악용 성공 가능성이 낮아집니다(그림 5).
그림 5: 스크립트가 실행되기 전의 사용자 경고
그러나 악용이 성공할 경우 이러한 보안 기능을 우회하고 공격자가 제어하는 코드가 실행됩니다. 그림 6의 스크린샷에서는 매우 긴 호출 스택의 상단에서 취약한 함수 _AttemptShellExecuteForHlinkNavigate 호출을 확인할 수 있습니다.
그림 6: 악용 중 호출 스택
이번 캠페인에서는 악성 .LNK 파일을 활용했지만, 해당 취약한 코드 경로는 MSHTML을 포함하는 모든 구성요소에서 트리거될 수 있습니다. 따라서 LNK 기반 피싱 외에도 다양한 전달 방식이 추가로 활용될 가능성이 있습니다.
수정 사항
Microsoft는 하이퍼링크 프로토콜에 대한 검증을 강화해 file://, http://, https://와 같은 지원 프로토콜이 ShellExecuteExW로 직접 전달되지 않고 브라우저 컨텍스트 내에서 실행되도록 했습니다.
자산 보호
Microsoft의 2026년 2월 보안 업데이트를 적용하면 이 취약점을 완전히 방어할 수 있습니다.
APT28 관련 도메인은 Akamai의 독자적인 위협 인텔리전스를 통해 추적되고 있습니다. Akamai Hunt는 이 공격과 관련된 활동 패턴[T1204.001, T1566.001]을 탐지하고 경고하며, 취약한 자산이 발견될 경우 고객에게 자동으로 알립니다.
PatchDiff-AI는 취약점의 근본 원인을 신속하게 분석해 빠른 원인 탐지를 가능하게 하고, 실제 환경에서의 악용 사례 분석을 가속화합니다.
IOC
이름 |
지표 |
|---|---|
| document.doc.LnK | aefd15e3c395edd16ede7685c6e97ca0350a702ee7c8585274b457166e86b1fa |
도메인 |
wellnesscaremed[.]com |
MITRE 기법 |
T1204.001, T1566.001 |
태그
