Resumo executivo
- Na Patch Tuesday de fevereiro de 2026, a Microsoft corrigiu a vulnerabilidade CVE-2026-21513, que permitia burlar os recursos de segurança da estrutura MSHTML.
- A vulnerabilidade afeta todas as versões do Windows, está sendo ativamente explorada na rede e possui uma pontuação CVSS de 8,8.
- Com o PatchDiff-AI, os pesquisadores da Akamai realizaram uma análise automatizada da causa raiz do patch e a correlacionaram com uma exploração observada em ambiente real, atribuída ao grupo de ameaças APT28, patrocinado pelo Estado russo.
- Esta publicação no blog apresenta uma análise técnica da vulnerabilidade CVE-2026-21513, uma descrição de sua causa principal e uma análise de como ela pode ser explorada.
- Incluímos uma lista de IOCs (Indicators Of Compromise, indicadores de comprometimento) nesta postagem do blog para ajudar na defesa contra essa ameaça.
A vulnerabilidade
A atualização de fevereiro de 2026 da Microsoft corrigiu 59 vulnerabilidades, incluindo seis vulnerabilidades de dia zero que estavam sendo exploradas ativamente. A vulnerabilidade CVE-2026-21513 se destaca devido à sua exploração ativa, ao seu alto impacto e à sua capacidade de burlar as barreiras de segurança do navegador e provocar a execução arbitrária de arquivos.
Utilizamos o sistema multiagente denominado PatchDiff-AI para analisar a vulnerabilidade CVE-2026-21513 e sua correção. O PatchDiff-AI gerou um relatório detalhado que fornece informações sobre o componente vulnerável e o vetor de ataque.
A causa raiz
O relatório do PatchDiff-AI associa a vulnerabilidade CVE-2026-21513 a uma função específica dentro do arquivo ieframe.dll (quadro do Internet Explorer). A vulnerabilidade reside na lógica responsável pelo tratamento da navegação por hiperlinks. A validação insuficiente da URL de destino permite que entradas controladas por invasores alcancem caminhos de código que invocam a função ShellExecuteExW, habilitando a execução de recursos locais ou remotos fora do contexto de segurança pretendido do navegador (Figura 1).
A visualização do caminho do código na Figura 2 mostra as diferenças de fluxo na função _AttemptShellExecuteForHlinkNavigate implementadas pelo patch.
Para acionar o bloco de código vulnerável, precisávamos abrir o Internet Explorer usando um formulário ActiveX para identificar exatamente o que desencadeia o fluxo. Utilizando o componente “System.Windows.Forms.WebBrowser” e exibindo-o no objeto “System.Windows.Forms.Form”, carregamos um arquivo HTML que foi analisado e construído com os módulos MSHTML e IEFRAME.
Outro componente importante é o “htmlfile”, que expõe a interface DOM e nos permite manipulá-la de forma a acionar a função vulnerável.
Ao analisar o código vulnerável e as chamadas de função que o acionam, chegamos à seguinte exploração.
A exploração
Ao cruzar o caminho de código vulnerável com informações públicas sobre Inteligência contra ciberameaças, identificamos uma amostra que estava explorando essa funcionalidade: document.doc.LnK.download.
A amostra foi enviada pela primeira vez ao VirusTotal em 30 de janeiro de 2026, pouco antes da Patch Tuesday de fevereiro, e está associada a uma infraestrutura ligada ao APT28, um grupo de ataque ativo patrocinado pelo Estado russo (Figura 3).
Essa carga útil consiste em um atalho do Windows (.lnk) especialmente criado, que incorpora um arquivo HTML imediatamente após a estrutura LNK padrão.
O arquivo LNK inicia a comunicação com o domínio wellnesscaremed[.]com, que é atribuído ao APT28 e tem sido amplamente utilizado para as cargas úteis em várias etapas da campanha.
A vulnerabilidade utiliza iframes aninhados e vários contextos DOM para manipular os limites de confiança.
Essa técnica permite que o invasor burle o Mark of the Web (MotW) e a Configuração de Segurança Avançada do Internet Explorer (IE ESC), reduzindo efetivamente o nível de segurança antes de acionar o fluxo de navegação vulnerável. Em última análise, isso permite que o conteúdo controlado pelo invasor chegue a um caminho de código que invoca a função ShellExecuteExW, levando à execução fora da área restrita do navegador (Figura 4).
{ h1 = new window[0].ActiveXObject('htmlfile'); };
('<html><body><iframe src=%22about:blank%22></iframe><iframe src=%22about:blank%22></iframe>%3cscript defer%3ewindow[1].document.Script.open(%22http:///%22,%22_parent%22)%3c/script%3e</body></html>'));Se executarmos esse script diretamente no Internet Explorer, nos depararemos com o recurso de segurança mencionado acima, que alerta o usuário e reduz as chances de uma exploração bem-sucedida (Figura 5).
Se a exploração for bem-sucedida, ela burlará os recursos de segurança e executará código controlado pelo invasor. A captura de tela da Figura 6 mostra o topo da stack de chamadas, que é bastante extensa, onde podemos ver a chamada à função vulnerável _AttemptShellExecuteForHlinkNavigate.
Embora a campanha observada utilize arquivos .LNK maliciosos, o caminho de código vulnerável pode ser acionado por meio de qualquer componente que incorpore o MSHTML. Portanto, é de se esperar que surjam novos mecanismos de ataque além do phishing baseado em LNK.
A correção
A Microsoft introduziu uma validação mais rigorosa no protocolo de hiperlinks, garantindo que os protocolos compatíveis (como file://, http:// e https://) sejam executados no contexto do navegador, em vez de serem passados diretamente para a função ShellExecuteExW.
Proteja seus ativos
A aplicação das atualizações de segurança da Microsoft de fevereiro de 2026 elimina totalmente essa vulnerabilidade.
Os domínios do APT28 são monitorados pelo sistema de Inteligência contra ciberameaças proprietário da Akamai. O Akamai Hunt detecta e emite alertas sobre padrões de atividade associados a esse ataque [T1204.001, T1566.001] e notifica automaticamente os clientes quando são detectados recursos vulneráveis.
O PatchDiff-AI analisa rapidamente a causa raiz de uma vulnerabilidade, permitindo a rápida identificação da causa raiz das vulnerabilidades e acelerando a análise de explorações em ambiente real.
IOCs
Nome |
Indicador |
|---|---|
| document.doc.LnK | aefd15e3c395edd16ede7685c6e97ca0350a702ee7c8585274b457166e86b1fa |
Domain |
wellnesscaremed[.]com |
Técnicas do MITRE |
T1204.001, T1566.001 |
Tags
