APT28 nutzte die MSHTML-Zero-Day-Sicherheitslücke CVE-2026-21513 aus
Die mit Russland in Verbindung stehende APT28 soll die MSHTML-Zero-Day-Sicherheitslücke CVE-2026-21513 ausgenutzt haben, bevor Microsoft sie gepatcht hat. Es handelt sich dabei um eine schwerwiegende Bypass-Sicherheitslücke.
Laut Akamai hat APT28 möglicherweise die CVE-2026-21513 (CVSS-Score 8,8) ausgenutzt, bevor Microsoft sie im Februar 2026 gepatcht hat.
Bei der Sicherheitslücke handelt es sich um eine Umgehung der Sicherheitskontrolle von Internet Explorer, die zur Ausführung von Code führen kann, wenn ein Opfer eine bösartige HTML-Seite oder LNK-Datei öffnet. Die Schwachstelle könnte durch das Öffnen einer bösartigen HTML- oder LNK-Datei ausgelöst werden, wodurch Angreifer Schutzmaßnahmen umgehen und möglicherweise Code ausführen könnten. Microsoft gab nur wenige Details bekannt
Microsoft bestätigte, dass CVE-2026-21513 in realen Zero-Day-Angriffen ausgenutzt wurde, und dankte MSTIC, MSRC, dem Office Security Team und Googles GTIG für die Meldung. Akamai fand eine bösartige Probe, die im Januar 2026 auf VirusTotal hochgeladen wurde und mit einer Infrastruktur in Verbindung steht, die mit APT28 in Verbindung steht.
Die Forscher von Akamai verwendeten PatchDiff-AI, um die Ursache des Problems zu analysieren, und verfolgten CVE-2026-21513 bis zur Hyperlink-Navigationslogik in ieframe.dll zurück. Sie stellten fest, dass eine unzureichende URL-Validierung es Angreifern ermöglicht, ShellExecuteExW aufzurufen und so Code außerhalb der Browser-Sandbox auszuführen. Die Forscher reproduzierten die Schwachstelle mithilfe von MSHTML-Komponenten und identifizierten eine Exploit-Probe, document.doc.LnK.download, die im Januar 2026 hochgeladen wurde und mit der APT28-Infrastruktur in Verbindung steht.
Durch die Korrelation des anfälligen Codepfads mit öffentlichen Bedrohungsinformationen haben wir ein Beispiel identifiziert, das diese Funktionalität ausnutzt: document.doc.LnK.download. Das Beispiel wurde erstmals am 30. Januar 2026, kurz vor dem Patch Tuesday im Februar, an VirusTotal übermittelt und steht in Verbindung mit der Infrastruktur von APT28, einem aktiven, vom russischen Staat unterstützten Bedrohungsakteur.
Die Schadsoftware verwendet eine speziell gestaltete Windows-Verknüpfung (.lnk), die eine HTML-Datei direkt nach der Standard-LNK-Struktur einbettet. Bei der Ausführung verbindet sie sich mit wellnesscaremed[.]com, einer Domain, die APT28 zugeordnet ist und in der mehrstufigen Aktivität der Kampagne weit verbreitet ist. Der Exploit nutzt verschachtelte Iframes und mehrere DOM-Kontexte, um Vertrauensgrenzen zu manipulieren und Mark of the Web (MotW) sowie die erweiterte Sicherheitskonfiguration von Internet Explorer (IE ESC) zu umgehen. Durch Herabstufen des Sicherheitskontexts löst er den anfälligen Navigationsfluss aus, sodass vom Angreifer kontrollierte Inhalte ShellExecuteExW aufrufen und Code außerhalb der Browser-Sandbox ausführen können.
Microsoft hat das Problem behoben, indem es die Validierung des Hyperlink-Protokolls verschärft hat, um zu verhindern, dass file://-, http://- und https://-Links ShellExecuteExW erreichen.