Уязвимость CVE-2026-21513 в MSHTML активно эксплуатируется APT28 для обхода защитных механизмов Windows

Суть уязвимости заключается в недостаточной проверке целевого URL в функции, отвечающей за обработку навигации по гиперссылкам в библиотеке "ieframe.dll". Эта логическая ошибка позволяет злонамеренно сформированным данным достичь кодового пути, который вызывает системную функцию "ShellExecuteExW". В свою очередь, это приводит к выполнению локальных или удалённых ресурсов за пределами предусмотренного контекста безопасности браузера. Проще говоря, атакующий может заставить систему запустить произвольную программу, обойдя такие защитные механизмы, как «метка из интернета» (Mark of the Web, MotW) и усиленная конфигурация безопасности Internet Explorer (IE ESC). Уязвимость особенно опасна, поскольку компонент MSHTML используется не только самим Internet Explorer, но и другими приложениями Windows для отображения HTML-контента, что расширяет потенциальную поверхность атаки.

Анализ, проведённый системой PatchDiff-AI (многоагентной платформы для автоматического сравнения патчей и поиска корневых причин уязвимостей), наглядно показал изменения в функции "_AttemptShellExecuteForHlinkNavigate". Исходная, уязвимая версия кода недостаточно валидировала протокол гиперссылки перед передачей управления. Патч от Microsoft вводит строгую проверку, гарантирующую, что поддерживаемые протоколы (например, "file://", "http://", "https://") будут обрабатываться в контексте браузера, а не передаваться напрямую на выполнение операционной системе.

Корреляция данных о уязвимости с публичными источниками информации об угрозах позволила исследователям идентифицировать конкретный образец вредоносного ПО, использующий CVE-2026-21513. Этот эксплойт был впервые загружен на платформу VirusTotal 30 января 2026 года и связан с инфраструктурой, атрибутированной APT28. Полезная нагрузка представляет собой специально созданный файл ярлыка Windows (.LNK), который после стандартной структуры ярлыка содержит внедрённый HTML-файл. При открытии такого LNK-файла инициируется связь с доменом "wellnesscaremed[.]com", используемым в данной кампании для доставки многоэтапных полезных нагрузок. Ключевым элементом эксплуатации является использование вложенных iframe и манипуляций с несколькими контекстами объектной модели документа (DOM) для размывания границ доверия. Это позволяет скрыть истинное происхождение контента и обойти предупреждения безопасности.

Техника атаки детально проиллюстрирована в отчёте: сценарий использует метод "document.Script.open()" в специфическом контексте, что в конечном итоге приводит к вызову уязвимой функции. В обычных условиях сработали бы защитные механизмы IE ESC, показав пользователю предупреждение. Однако описанный метод эксплуатации успешно их подавляет. На скриншоте стека вызовов во время эксплуатации видна длинная цепочка, вершиной которой является вызов "_AttemptShellExecuteForHlinkNavigate". Хотя в наблюдаемой кампании используется фишинг с вредоносными LNK-файлами, уязвимый код может быть вызван через любой компонент, использующий MSHTML. Следовательно, следует ожидать и других механизмов доставки, например, через документы Office или другие контейнеры, способные запускать активный контент.

С практической точки зрения, данная атака демонстрирует классический сценарий повышения привилегий в контексте браузера или приложения-ренедера HTML. Успешная эксплуатация позволяет выполнить код в контексте текущего пользователя, что является первым шагом для дальнейшего закрепления в системе (persistence), горизонтального перемещения по сети или кражи данных. Для бизнеса это создает прямой риск компрометации рабочих станций, даже если на них используются современные браузеры на базе Chromium, поскольку уязвимость resides в системном компоненте Windows.

В качестве рекомендаций по защите, в первую очередь, необходимо незамедлительно установить февральские обновления безопасности от Microsoft (Patch Tuesday) на все системы Windows. Кроме того, учитывая атрибуцию атаки группе APT28, которая часто нацелена на государственные и стратегические организации, компаниям следует провести ревизию журналов на предмет подозрительной активности, связанной с запуском необычных LNK-файлов или обращений к неизвестным доменам. Также целесообразно рассмотреть возможность блокировки выполнения скриптов через MSHTML для непроверенных файлов с помощью политик AppLocker или аналогичных решений. Этот случай в очередной раз подтверждает, что тщательный и своевременный патч-менеджмент остается одной из ключевых и наиболее эффективных мер кибергигиены в противодействии даже продвинутым угрозам.

Domains

• wellnesscaremed.com

SHA256

• aefd15e3c395edd16ede7685c6e97ca0350a702ee7c8585274b457166e86b1fa