内容提要
- 在 2026 年 2 月 Patch Tuesday,Microsoft 惯例发布补丁的日子,Microsoft 发布了针对 CVE-2026-21513 漏洞的补丁,该漏洞可绕过 MSHTML 框架中的安全功能。
- 该漏洞会影响所有 Windows 版本,已遭频繁在野利用,CVSS 评分为 8.8。
- Akamai 的研究人员使用 PatchDiff-AI 自动对该补丁进行了根本原因分析,并将分析结果与观察到的、被认定为是俄罗斯国家资助的威胁组织 APT28 的实际利用案例关联起来。
- 这篇博文对 CVE-2026-21513 进行了技术解析,描述了导致此漏洞的根本原因,并分析了此漏洞的利用方式。
- 为帮助抵御此威胁,我们在本博文中提供了相关的入侵指标 (IoC) 列表。
漏洞
Microsoft 在 2026 年 2 月 Patch Tuesday 修复了 59 个漏洞,其中包括 6 个已遭频繁利用的零日漏洞。CVE-2026-21513 的突出之处在于,正遭频繁利用,影响不容小觑,并且能够绕过浏览器安全边界,触发执行任意文件。
我们使用名为 PatchDiff-AI 的多代理系统分析了 CVE-2026-21513 及其补丁。PatchDiff-AI 生成了一份详细报告,揭示易受攻击的组件和攻击向量的相关见解。
根本原因
PatchDiff-AI 报告指出,CVE-2026-21513 与 ieframe.dll(Internet Explorer 框架)中的特定函数存在关联。此漏洞存在于处理超链接导航的代码逻辑中。由于对目标 URL 的验证不够充分,攻击者得以通过控制输入来访问调用 ShellExecuteExW 的代码路径,进而在预期的浏览器安全上下文之外执行本地或远程资源(见图 1)。
图 2 以流程图形式展示代码路径,揭示了对应用补丁前后的 _AttemptShellExecuteForHlinkNavigate 函数所做的流程差异分析。
为了触发容易受到攻击的代码块,我们需要使用 ActiveX 窗体调用 Internet Explorer,以追踪触发该流程的具体原因。我们使用了“System.Windows.Forms.WebBrowser”组件,将其显示在“System.Windows.Forms.Form”对象上,同时加载了一个使用 MSHTML 和 IEFRAME 模块解析和构建的 HTML 文件。
另一个重要组件是“htmlfile”,它公开了 DOM 接口,让我们能够以触发易受攻击函数的方式对其进行操作。
在探索易受攻击的代码及其触发函数调用的过程中,我们发现了以下漏洞利用方式。
漏洞利用
将易受攻击的代码路径和公开的威胁情报进行关联后,我们发现了一个利用该功能的样本 document.doc.LnK.download。
该样本于 2026 年 1 月 30 日首次提交至 VirusTotal,时间刚好在 2 月 Patch Tuesday 之前,且与俄罗斯国家资助的活跃威胁组织 APT28 的基础架构关联(见图 3)。
该攻击载荷包含一个精心设计的 Windows 快捷方式 (.lnk),会在标准的 LNK 结构之后,立即嵌入了一份 HTML 文件。
该 LNK 文件会与 wellnesscaremed[.]com 域名进行通信。这是一个由 APT28 控制的域名,并且已被大量用于此次攻击活动多个阶段的攻击载荷中。
该漏洞借助嵌套的 iframe 和多个 DOM 上下文来操控信任边界。
这种技术可使攻击者绕过 Mark of the Web (MotW) 和 Internet Explorer 增强安全配置 (IE ESC),在触发存在漏洞的导航流程前,有效降级防护系统。最终,攻击者控制的内容能够到达调用 ShellExecuteExW 的代码路径,进而在浏览器沙箱之外执行代码(见图 4)。
{ h1 = new window[0].ActiveXObject('htmlfile'); };
('<html><body><iframe src=%22about:blank%22></iframe><iframe src=%22about:blank%22></iframe>%3cscript defer%3ewindow[1].document.Script.open(%22http:///%22,%22_parent%22)%3c/script%3e</body></html>'));如我们直接在 Internet Explorer 中运行此脚本,便会触发上述安全功能,进而向用户发出警告,降低成功利用漏洞的概率(见图 5)。
而成功利用漏洞则能绕过这些安全功能,执行攻击者所控制的代码。图 6 的屏幕截图展示了调用堆栈的顶部部分。这个堆栈相当长,我们能够看到对易受攻击的函数 _AttemptShellExecuteForHlinkNavigate 的调用。
虽然观察到的攻击活动采用了恶意的 .LNK 文件,但任何嵌入 MSHTML 的组件都可能触发此易受攻击的代码路径。因此,除了基于 LNK 的网络钓鱼之外,还可能出现其他传播机制。
修复方法
Microsoft 对超链接协议采用了更严格的验证方式,确保 file://、http:// 及 https:// 等受支持的协议在浏览器上下文中执行,而不是直接传递到 ShellExecuteExW。
保护您的资产
应用 Microsoft 2026 年 2 月安全更新可以完全缓解此漏洞。
Akamai 的专有威胁情报已对 APT28 的域名展开跟踪。Akamai Hunt 可以检测到与该攻击 [T1204.001、T1566.001] 相关的活动模式并发出提醒,在检测到易受攻击的资产后,自动通知客户。
PatchDiff-AI 能够迅速分析造成漏洞的根本成因,进而快速定位漏洞根源,并加快对在野利用漏洞的分析进程。
IOC
名称 |
指标 |
|---|---|
| document.doc.LnK | aefd15e3c395edd16ede7685c6e97ca0350a702ee7c8585274b457166e86b1fa |
域名 |
wellnesscaremed[.]com |
MITRE 技术 |
T1204.001、T1566.001 |
标签
