Nuevos hallazgos de Akamai revelan que una falla de seguridad recientemente revelada y reparada por Microsoft puede haber sido explotada por un actor de amenazas patrocinado por el estado vinculado a Rusia conocido como APT28.
La vulnerabilidad en cuestión es CVE-2026-21513 (puntuación CVSS: 8,8), una característica de seguridad de alta gravedad que afecta al marco MSHTML.
«Una falla en los mecanismos de protección del marco MSHTML podría permitir que un atacante no autorizado eluda las funciones de seguridad a través de la red», escribió Microsoft en su aviso sobre la falla. Este problema fue solucionado por el fabricante de Windows como parte de la actualización del martes de parches de febrero de 2026.
Sin embargo, el gigante tecnológico también señaló que esta vulnerabilidad se aprovechó como un exploit de día cero en ataques de la vida real y reconoció que Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC), Office Product Group Security Team y Google Threat Intelligence Group (GTIG) informaron sobre esta vulnerabilidad.
En un escenario de ataque hipotético, un atacante podría aprovechar la vulnerabilidad persuadiendo a la víctima para que abra un archivo HTML o de acceso directo (LNK) malicioso entregado como un enlace o un archivo adjunto de correo electrónico.
Microsoft señala que cuando se abre un archivo especialmente diseñado, manipula el procesamiento del navegador y del shell de Windows y hace que el sistema operativo ejecute su contenido. Esto podría permitir a un atacante eludir las funciones de seguridad y potencialmente provocar la ejecución de código.
Aunque la compañía no ha publicado detalles sobre sus esfuerzos de explotación de día cero, Akamai dijo que identificó artefactos maliciosos relacionados con la infraestructura vinculada a APT28 que se cargaron en VirusTotal el 30 de enero de 2026.
Vale la pena señalar que esta muestra fue reportada por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) a principios del mes pasado en relación con el ataque APT28 que aprovechó otra falla de seguridad en Microsoft Office (CVE-2026-21509, puntuación CVSS: 7,8).
La compañía de infraestructura web dijo que CVE-2026-21513 tiene sus raíces en la lógica dentro de ieframe.dll que maneja la navegación por hipervínculos y es el resultado de una validación insuficiente de la URL de destino, lo que permite que la entrada controlada por el atacante alcance la ruta del código que llama a ShellExecuteExW. Esto permite que los recursos locales o remotos se ejecuten fuera del contexto de seguridad previsto del navegador.
«La carga útil contiene un acceso directo de Windows (LNK) especialmente diseñado que incrusta un archivo HTML inmediatamente después de la estructura LNK estándar», dijo el investigador de seguridad Maor Dahan. «El archivo LNK inicia la comunicación con el dominio Wellnesscaremed(.)com, que se atribuye a APT28 y se utiliza ampliamente en cargas útiles de múltiples etapas en campañas. El exploit aprovecha iframes anidados y múltiples contextos DOM para manipular los límites de confianza».
Akamai señaló que esta técnica permite a los atacantes eludir Mark-of-the-Web (MotW) y la Configuración de seguridad mejorada de Internet Explorer (IE ESC), lo que lleva a degradaciones del contexto de seguridad y, en última instancia, facilita la ejecución de código malicioso fuera del entorno de pruebas del navegador a través de ShellExecuteExW.
«Aunque la campaña observada aprovecha un archivo LNK malicioso, la ruta del código vulnerable puede activarse a través de cualquier componente que incorpore MSHTML», añadió la compañía. «Por lo tanto, se deben esperar mecanismos de entrega adicionales más allá del phishing basado en LNK».
Source link
