Uma vulnerabilidade recém-divulgada e corrigida pela Microsoft pode ter sido explorada pelo grupo de ciberespionagem ligado à Rússia, conhecido como APT28, segundo novas descobertas da Akamai.
O ponto fraco identificado é a falha
CVE-2026-21513
, classificada como de gravidade alta (pontuação CVSS 8,8), que permite a um invasor contornar um mecanismo de segurança no MSHTML Framework.
Conforme explicado pela Microsoft em seu boletim, a vulnerabilidade possibilita que um atacante não autorizado ultrapasse uma proteção na rede.
A falha foi corrigida pela Microsoft na atualização do Patch Tuesday de fevereiro de 2026.
No entanto, a própria empresa confirmou que a vulnerabilidade foi usada em ataques zero-day reais, reconhecendo o trabalho colaborativo do Microsoft Threat Intelligence Center (MSTIC), do Microsoft Security Response Center (MSRC), do Office Product Group Security Team e do Google Threat Intelligence Group (GTIG) na sua identificação.
Em um cenário típico de ataque, o criminoso convence a vítima a abrir um arquivo HTML malicioso ou um atalho (LNK) enviado por link ou anexo de e-mail.
Ao abrir o arquivo especialmente criado, o controle dos navegadores e do Windows Shell é manipulado, fazendo com que o sistema operacional execute conteúdo externo.
Isso permite que o atacante contorne mecanismos de segurança e, potencialmente, execute códigos maliciosos.
Embora a Microsoft não tenha divulgado detalhes específicos da exploração zero-day, a Akamai identificou um artefato malicioso enviado ao VirusTotal em 30 de janeiro de 2026, ligado à infraestrutura usada pelo APT28.
Vale destacar que, no início de janeiro, esse mesmo país já havia alertado sobre ataques do grupo APT28 explorando outra falha no Microsoft Office (
CVE-2026-21509
), de gravidade média (CVSS 7,8).
Segundo a Akamai, a vulnerabilidade
CVE-2026-21513
está localizada em “ieframe.dll”, componente responsável pela navegação de hyperlinks.
A falha ocorre devido à validação insuficiente do URL alvo, permitindo que uma entrada controlada pelo atacante alcance o código que invoca a função ShellExecuteExW, possibilitando a execução de recursos locais ou remotos fora do contexto de segurança do navegador.
O pesquisador Maor Dahan explica que o payload malicioso envolve um arquivo Windows Shortcut (LNK) especialmente criado, com um arquivo HTML embutido logo após a estrutura padrão do LNK.
Esse atalho inicia comunicação com o domínio wellnesscaremed[.]com, atribuído ao APT28 e amplamente usado na campanha com múltiplas etapas de payloads.
O exploit ainda explora iframes aninhados e múltiplos contextos DOM para manipular os limites de confiança.
A técnica detalhada pela Akamai permite ao atacante burlar a marcação Mark-of-the-Web (MotW) e a configuração de segurança reforçada do Internet Explorer (IE ESC), rebaixando o contexto de segurança e facilitando a execução de código fora da sandbox do navegador por meio da função ShellExecuteExW.
Embora a campanha registrada use arquivos LNK maliciosos, a Akamai alerta que qualquer componente que incorpore MSHTML pode ser explorado pelo caminho de código vulnerável, indicando que métodos de entrega além do phishing com atalho LNK devem ser considerados.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...