Microsoftは火曜日のパッチ更新をリリースし、59の脆弱性に対応しました。これにはWindowsのMSHTMLフレームワークの重大なゼロデイの欠陥も含まれています。
CVE-2026-21513として追跡されているこの積極的に悪用されている脆弱性により、攻撃者はセキュリティ機能をバイパスして任意のコードを実行できます。
APT28は、洗練されたマルウェアキャンペーンで知られている、よく文書化された高度な永続的脅威グループです。
Akamaiのセキュリティ研究者は、ロシアの国家支援を受けた脅威グループAPT28が、公式パッチが利用可能になる前にこの欠陥を野生で悪用していることを発見しました。
脆弱性概要
| 機能 | 詳細 |
|---|---|
| CVE ID | CVE-2026-21513 |
| CSSスコア | 8.8(高) |
| 脆弱性タイプ | セキュリティ機能のバイパス |
| 影響を受けるコンポーネント | MSHTMLフレームワーク(ieframe.dll) |
| 脅威アクター | APT28(ロシアの国家支援) |
| 悪用ステータス | 野生でアクティブに悪用されている |
この脆弱性は、Internet Explorerのハイパーリンクナビゲーションを管理するieframe.dllコンポーネントに由来します。
このコードはターゲットURLの適切な検証が不足していました。この弱い検証のため、攻撃者はShellExecuteExW関数をトリガーする特定のコードパスに悪意のある入力を送信できました。
この欠陥により、脅威アクターはブラウザーのセキュアなサンドボックス環境から抜け出し、被害者のマシン上で警告なしに任意のローカルまたはリモートファイルを実行できます。
研究者は2026年1月下旬にAPT28エクスプロイトを最初に発見しました。脅威アクターは、構造の最後に隠されたHTMLペイロードを含む特別に作成されたWindowsショートカットファイル(.lnk)を使用しました。
開くと、ペイロードは攻撃者が管理するドメイン(wellnesscaremed[.]com)に接続してマルチステージマルウェアを取得します。
成功した実行を確保するために、エクスプロイトはネストされたiframeと複数のドキュメントオブジェクトモデル(DOM)コンテキストを利用します。
このテクニックにより、攻撃者はWindowsの主要なセキュリティ防御、特にMark of the Web(MotW)とInternet Explorer Enhanced Security Configuration(IE ESC)をバイパスできます。
セキュリティコンテキストをダウングレードすることで、悪意のあるスクリプトは危険なShellExecuteExW呼び出しを実行するようシステムに強制します。
観察されたキャンペーンは悪意のある.lnkファイルに依存していますが、MSHTMLコンポーネントを埋め込む任意のアプリケーションがこの脆弱なコードパスをトリガーする可能性があると専門家は警告しています。
これは、従来のフィッシング以外の他の配信方法が非常に可能性が高いことを意味します。
CVE-2026-21513に対処するため、Microsoftは2026年2月のセキュリティパッチ更新でより厳しいハイパーリンクプロトコル検証を実装しました。
このフィックスは、HTTP、HTTPS、FILEなどの標準プロトコルがセキュアブラウザー環境内で厳密に含有され実行されることを保証します。
それらはもうShellExecuteExW関数に直接渡すことができず、エクスプロイトチェーンを実質的に無効化します。
翻訳元: https://gbhackers.com/mshtml-zero-day-in-windows-exploited-by-apt28/
