2 de marzo de 2026

APT28 explota vulnerabilidad zero-day CVE-2026-21513 en MSHTML antes del parche de febrero de 2026

APT28 explota vulnerabilidad zero-day CVE-2026-21513 en MSHTML antes del parche de febrero de 2026

Akamai ha detectado que el grupo de amenazas APT28, vinculado a Rusia, explotó activamente una vulnerabilidad zero-day en el framework MSHTML (CVE-2026-21513) antes de que Microsoft lanzara un parche como parte de su actualización Patch Tuesday de febrero de 2026.

Detalles de la Vulnerabilidad CVE-2026-21513

La vulnerabilidad, con una severidad calificada con un puntaje CVSS de 8.8, reside en el MSHTML Framework y permite la omisión de una característica de seguridad. Microsoft describe la falla como un "fallo en el mecanismo de protección en MSHTML Framework que permite a un atacante no autorizado omitir una característica de seguridad a través de una red".

  • CVE-2026-21513 es una vulnerabilidad de omisión de seguridad en MSHTML.
  • Permite a atacantes eludir protecciones a través de la manipulación de archivos HTML.
  • Fue explotada como zero-day en ataques reales.

Técnicas de Explotación

Un atacante podría aprovechar esta vulnerabilidad persuadiendo a una víctima para que abra un archivo HTML malicioso o un archivo de acceso directo (LNK) entregado a través de un enlace o como un archivo adjunto de correo electrónico. Al abrir el archivo manipulado, este afecta el manejo del navegador y el shell de Windows, lo que provoca que el sistema operativo ejecute el contenido. Esto permite al atacante evitar las funciones de seguridad y, potencialmente, lograr la ejecución de código.

Infraestructura y Atribución a APT28

Akamai identificó un artefacto malicioso cargado en VirusTotal el 30 de enero de 2026, asociado con la infraestructura vinculada a APT28. Este hallazgo se relaciona con ataques que explotan otra vulnerabilidad en Microsoft Office (CVE-2026-21509).

  • El análisis de Akamai revela que la vulnerabilidad CVE-2026-21513 se encuentra en la lógica dentro de "ieframe.dll".
  • La explotación se basa en la validación insuficiente de la URL de destino, permitiendo que la entrada controlada por el atacante alcance rutas de código que invocan ShellExecuteExW.
  • El ataque involucra un archivo LNK que incrusta un archivo HTML inmediatamente después de la estructura LNK estándar.
  • El archivo LNK malicioso se comunica con el dominio wellnesscaremed[.]com, atribuido a APT28.

Contexto

Esta campaña demuestra la capacidad de APT28 para explotar vulnerabilidades zero-day en productos de Microsoft. La técnica utilizada permite a los atacantes omitir Mark-of-the-Web (MotW) e Internet Explorer Enhanced Security Configuration (IE ESC), degradando el contexto de seguridad y facilitando la ejecución de código malicioso fuera del sandbox del navegador a través de ShellExecuteExW. Se espera que se utilicen mecanismos de entrega adicionales más allá del phishing basado en LNK.

Fuente: https://www.akamai.com/blog/security-research/2026/feb/inside-the-fix-cve-2026-21513-mshtml-exploit-analysis
← Anterior EE. UU. Incauta 61 Millones de Dólares e...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Hackers norcoreanos publican 26 paquetes npm maliciosos con RAT multiplataforma
EE. UU. Incauta 61 Millones de Dólares en Tether Vinculados a Estafas Cripto 'Pig Butchering'
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio