APT28黑客组织在微软2026年2月补丁日前利用MSHTML框架0Day漏洞

📅 发布时间:2026/7/3 8:21:56 👁️ 浏览次数:
APT28黑客组织在微软2026年2月补丁日前利用MSHTML框架0Day漏洞
漏洞概况微软HTMLMSHTML框架中存在一个0Day漏洞CVE-2026-21513该漏洞允许攻击者绕过安全功能并执行任意文件。这个CVSS评分为8.8的高危漏洞影响所有Windows版本。Akamai安全研究人员发现俄罗斯国家支持的黑客组织APT28在微软2026年2月补丁发布前就已在利用此漏洞。技术分析Akamai研究人员使用多Agent AI系统PatchDiff-AI进行自动化根因分析发现漏洞存在于ieframe.dll的_AttemptShellExecuteForHlinkNavigate函数中该函数负责处理超链接导航。特征详情CVE编号CVE-2026-21513CVSS评分8.8高危受影响组件MSHTML框架ieframe.dll影响安全功能绕过、任意代码执行补丁日期2026年2月补丁日漏洞源于对目标URL验证不足导致攻击者控制的输入能够到达调用ShellExecuteExW的代码路径从而在浏览器安全上下文之外执行本地或远程资源。攻击活动研究人员将漏洞代码路径与公开威胁情报相关联发现VirusTotal在2026年1月30日提交的恶意样本document.doc.LnK.download。该样本与APT28相关基础设施关联使用特制的Windows快捷方式.lnk文件在标准LNK结构后嵌入HTML文件。执行时LNK文件会连接至APT28多阶段攻击活动中使用的域名wellnesscaremed[.]com。Akamai分析显示该漏洞利用嵌套iframe和多个文档对象模型DOM上下文来操纵信任边界。该技术绕过了网络标记MotW和Internet Explorer增强安全配置IE ESC通过降级安全上下文攻击者可触发易受攻击的导航流并执行任意代码。修复措施微软在2026年2月补丁日更新中修复了该漏洞引入了对超链接协议的更严格验证确保file://、http://和https://等支持的协议在浏览器上下文中执行而非直接传递给ShellExecuteExW。入侵指标IOCAkamai研究人员提供了以下IOC以协助网络防御名称指标document.doc.LnKaefd15e3c395edd16ede7685c6e97ca0350a702ee7c8585274b457166e86b1fa域名wellnesscaremed...comMITRE技术T1204.001, T1566.001Akamai警告称虽然观察到的攻击使用了特定的恶意.LNK文件活动但任何嵌入MSHTML的组件都可能触发该漏洞。建议组织应用2026年2月的安全更新以降低风险并对其他可能的传播方式保持警惕。