マイクロソフトの2026年2月のパッチチューズデイは59の欠陥を修正しましたが、MSHTMLフレームワークのCVE-2026-21513が注目を集めました。
このセキュリティバイパス脆弱性はすべてのWindowsバージョンに影響を与え、CVSSスコア8.8を獲得し、ロシアの国家支援ハッカー集団APT28によって実際に悪用されました。
Akamaiの研究者はPatchDiff-AIを使用してパッチを解析し、実際の攻撃と関連付けました。
CVE-2026-21513はInternet Explorerの一部であるieframe.dllに隠れています。ハイパーリンク ナビゲーション ロジックに欠陥があり、攻撃者がブラウザ セーフガードをすり抜けることができます。
弱いURLチェックにより悪意のある入力がShellExecuteExWに供給され、サンドボックス外でローカルまたはリモート ファイルを実行します。
攻撃者はネストされたiframeとDOMの技を使用して、Mark of the Web(MotW)とIE Enhanced Security Configuration(IE ESC)をバイパスします。
悪意のある.LNKファイルは2026年1月30日にVirusTotalでフラグが付けられ、それを開始します。APT28に関連するwellnesscaremed[.]comに通信するHTMLが埋め込まれています。
iframeのJavaScriptdocument.Script.open("http:///", "_parent")などは警告を回避し、_AttemptShellExecuteForHlinkNavigateをトリガーし、ペイロードをドロップします。
これはIEだけでなく、フィッシングメールや埋め込みコントロールなど、任意のMSHTMLホストを介して機能します。MITREの戦術:T1204.001(ユーザー実行:悪意のあるファイル)およびT1566.001(フィッシング:スピアフィッシング添付ファイル)。
マイクロソフトは、アクションをブラウザ内に保つため、ShellExecuteExWの悪用をブロックするため、厳密なプロトコル チェック(file://、http://、https://)を追加しました。完全な軽減にはアップデートが必要です。
LNKフィッシング以上のベクトルが予想されます。PatchDiff-AIはRSAC 2026での根本原因ハント デモを高速化します。APT28のキャンペーンに対して警戒を怠りません。
翻訳元: https://cyberpress.org/apt28-exploits-mshtml-zero-day/