APT28组织利用CVE-2026-21513零日漏洞发动攻击

安全研究公司Akamai的最新研究发现，与俄罗斯有关联的国家级威胁组织APT28可能已经利用了微软最近修补的一个安全漏洞。

该漏洞编号为CVE-2026-21513，CVSS评分高达8.8分，属于影响MSHTML框架的高危安全功能绕过漏洞。微软在其安全公告中指出："MSHTML框架中的保护机制失效，允许未经授权的攻击者通过网络绕过安全功能。"该漏洞已在2026年2月的补丁星期二更新中得到修复。

不过，微软也提到该漏洞在实际攻击中已被作为零日漏洞利用。微软威胁情报中心、微软安全响应中心、Office产品组安全团队以及谷歌威胁情报组都参与了该漏洞的发现和报告工作。

攻击场景分析

在假设的攻击场景中，威胁行为者可以通过诱骗受害者打开恶意HTML文件或通过链接或电子邮件附件传递的快捷方式文件来武器化该漏洞。

一旦受害者打开恶意制作的文件，该文件会操纵浏览器和Windows Shell的处理方式，导致内容被操作系统执行。微软指出，这使得攻击者能够绕过安全功能并潜在地实现代码执行。

APT28组织的参与证据

虽然微软没有正式分享关于零日漏洞利用活动的任何细节，但Akamai表示已识别出一个恶意样本，该样本于2026年1月30日上传到VirusTotal，并与APT28相关的基础设施有关联。

值得注意的是，该样本在上个月早些时候被乌克兰计算机应急响应小组标记，与APT28利用微软Office中另一个安全漏洞（CVE-2026-21509，CVSS评分7.8）的攻击活动有关。

技术细节分析

Akamai指出，CVE-2026-21513漏洞根植于处理超链接导航的"ieframe.dll"逻辑中，是对目标URL验证不充分的结果。这允许攻击者控制的输入到达调用ShellExecuteExW的代码路径，进而能够在预期的浏览器安全上下文之外执行本地或远程资源。

安全研究员Maor Dahan表示："这个有效载荷涉及一个特别制作的Windows快捷方式文件，该文件在标准LNK结构之后立即嵌入HTML文件。LNK文件启动与域名wellnesscaremed.com的通信，该域名归属于APT28，并已广泛用于该活动的多阶段有效载荷。该漏洞利用嵌套iframe和多个DOM上下文来操纵信任边界。"

安全影响与防护建议

Akamai指出，该技术使攻击者能够绕过网络标记和Internet Explorer增强安全配置，导致安全上下文降级，最终通过ShellExecuteExW促进恶意代码在浏览器沙箱之外的执行。

该公司补充说："虽然观察到的活动利用了恶意LNK文件，但漏洞代码路径可以通过任何嵌入MSHTML的组件触发。因此，除了基于LNK的钓鱼之外，还应该预期其他传递机制。"

这一发现再次凸显了及时安装安全补丁的重要性，特别是在面对国家级威胁组织的持续攻击时。组织应确保及时应用微软的安全更新，并加强对可疑电子邮件附件和链接的监控。

Q&A

Q1：CVE-2026-21513漏洞有多严重？

A：CVE-2026-21513是一个CVSS评分8.8的高危漏洞，影响MSHTML框架。该漏洞允许攻击者绕过安全功能，通过恶意HTML文件或快捷方式文件实现代码执行，已被APT28组织在实际攻击中利用。

Q2：APT28组织如何利用这个漏洞进行攻击？

A：APT28通过特制的Windows快捷方式文件嵌入HTML代码，利用嵌套iframe和多个DOM上下文操纵信任边界。攻击者使用wellnesscaremed.com域名进行通信，绕过网络标记和IE增强安全配置，最终在浏览器沙箱外执行恶意代码。

Q3：如何防护CVE-2026-21513漏洞攻击？

A：首先应立即安装微软2026年2月补丁星期二的安全更新。同时要加强对可疑邮件附件特别是LNK文件的监控，因为该漏洞可通过任何嵌入MSHTML的组件触发，所以还需要防范多种传递机制的攻击。