Una falla de seguridad recientemente revelada y corregida por Microsoft puede haber sido explotada por el actor de amenazas patrocinado por el estado vinculado a Rusia conocido como APT 28 , según nuevos hallazgos de Akamai.

La vulnerabilidad en cuestión es CVE-2026-21513 (puntuación CVSS: 8,8), una elusión de una función de seguridad de alta gravedad que afecta al marco MSHTML.

«La falla del mecanismo de protección en MSHTML Framework permite a un atacante no autorizado eludir una función de seguridad en una red», dijo Microsoft apuntado en su asesoramiento sobre la falla. Lo era fija del fabricante de Windows como parte de su actualización del martes de parches de febrero de 2026.

Sin embargo, el gigante tecnológico también señaló que la vulnerabilidad había sido explotada como un ataque de día cero en el mundo real, y atribuyó el mérito al Centro de Inteligencia de Amenazas de Microsoft (MSTIC), al Centro de Respuesta a la Seguridad de Microsoft (MSRC) y al Equipo de Seguridad del Grupo de Productos de Office, junto con el Grupo de Inteligencia de Amenazas de Google (GTIG), por denunciarla.

adsense

En un escenario hipotético de ataque, un actor de amenazas podría convertir la vulnerabilidad en un arma persuadiendo a la víctima de que abra un archivo HTML o un archivo de acceso directo (LNK) malicioso entregado a través de un enlace o como archivo adjunto de correo electrónico.

Una vez que se abre el archivo creado, manipula el manejo del navegador y de Windows Shell, lo que hace que el sistema operativo ejecute el contenido, señaló Microsoft. Esto, a su vez, permite al atacante eludir las funciones de seguridad y, potencialmente, lograr la ejecución del código.

Si bien la empresa no ha compartido oficialmente ningún detalle sobre el esfuerzo de explotación de día cero, Akamai dijo que identificó un artefacto malicioso que se subió a VirusTotal el 30 de enero de 2026 y está asociado a la infraestructura vinculada a APT28.

Vale la pena señalar que la muestra fue marcado realizado por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) a principios del mes pasado en relación con los ataques del APT28 que aprovechaban otra falla de seguridad en Microsoft Office (CVE-2026-21509, puntuación CVSS: 7,8).

La empresa de infraestructura web dijo que el CVE-2026-21513 se basa en la lógica de "ieframe.dll" que gestiona la navegación por hipervínculos, y que es el resultado de una validación insuficiente de la URL de destino, lo que permite que la entrada controlada por el atacante llegue a las rutas de código que invocan Shell Execute EXW . Esto, a su vez, permite la ejecución de recursos locales o remotos fuera del contexto de seguridad del navegador previsto.

«Esta carga útil incluye un acceso directo de Windows (LNK) especialmente diseñado que incrusta un archivo HTML inmediatamente después de la estructura LNK estándar», afirma el investigador de seguridad Maor Dahan. «El archivo LNK inicia la comunicación con el dominio wellnesscaremed [.] com, que se atribuye a APT28 y que se ha utilizado ampliamente para las múltiples etapas de la campaña. El exploit aprovecha los iframes anidados y los múltiples contextos DOM para manipular los límites de confianza».

enlaces

Akamai señaló que la técnica permite a un atacante eludir Mark-of-the-Web ( MoTW ) y la configuración de seguridad mejorada de Internet Explorer ( ES DECIR, ESC ), lo que lleva a una degradación del contexto de seguridad y, en última instancia, facilita la ejecución de código malicioso fuera del entorno limitado del navegador mediante Shell Execute EXW .

«Si bien la campaña observada aprovecha los archivos LNK maliciosos, la ruta del código vulnerable se puede activar a través de cualquier componente que incorpore MSHTML», añadió la empresa. «Por lo tanto, cabe esperar mecanismos de entrega adicionales además del phishing basado en LNK».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.