CVE-2026-21513 w MSHTML: jak APT28 omija MotW i doprowadza do wykonania plików (analiza Akamai)

Wprowadzenie do problemu / definicja luki

CVE-2026-21513 to podatność typu Security Feature Bypass w MSHTML (Trident) – historycznym silniku renderowania HTML kojarzonym z Internet Explorerem, który przez cały czas bywa wykorzystywany przez różne komponenty Windows. Luka została załatana w ramach Patch Tuesday z lutego 2026, a co ważniejsze: Microsoft i społeczność bezpieczeństwa potwierdzili aktywną eksploatację “in the wild”.

W praktyce mówimy o scenariuszu, w którym atakujący doprowadza do ominięcia mechanizmów ochronnych (m.in. zaufania/ostrzeżeń związanych z uruchamianiem zasobów), a następnie do uruchomienia wskazanych zasobów/plików poza oczekiwanym kontekstem bezpieczeństwa.

W skrócie

• Komponent: MSHTML / IEFRAME (m.in. ieframe.dll)
• Typ: protection mechanism failure / security feature bypass (CWE-693)
• CVSS (CNA Microsoft): 8.8 (HIGH), wektor: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
• Wymagana interakcja użytkownika: tak (np. otwarcie pliku HTML lub skrótu .lnk)
• Status: w CISA KEV + termin działań (KEV “due date”) 2026-03-03
• Atrybucja kampanii: Akamai wiąże obserwowaną eksploatację z APT28

Kontekst / historia / powiązania

Choć Edge nie używa MSHTML jako silnika przeglądarki, legacy komponenty Windows wciąż mogą opierać się o IE/Trident. To otwiera furtkę do “powrotu” starych klas ataków – szczególnie tam, gdzie istnieją osadzone kontrolki, WebBrowser control lub inne elementy, które potrafią parsować HTML przez MSHTML.

W lutym 2026 tematy “security feature bypass” w Windows pojawiały się grupowo (np. analogiczne klasy problemów w Shell/Word), co sugeruje szerszy trend: atakujący konsekwentnie szukają sposobów, by zwiększyć niezawodność initial access poprzez obchodzenie ostrzeżeń i mechanizmów zaufania.

Analiza techniczna / szczegóły luki

Root cause (wg Akamai / PatchDiff-AI)

Akamai opisuje analizę “inside the fix” wykonaną z użyciem PatchDiff-AI, która wiąże CVE-2026-21513 z konkretną ścieżką kodu w ieframe.dll (Internet Explorer frame). najważniejszy problem: niewystarczająca walidacja docelowego URL podczas obsługi nawigacji hyperlinków, co pozwala doprowadzić sterowane dane do ścieżki wywołującej ShellExecuteExW. Efekt: wykonanie zasobu lokalnego lub zdalnego poza zamierzonym kontekstem bezpieczeństwa przeglądarki.

Akamai wskazuje też nazwę funkcji widoczną w call stack / analizie różnic: _AttemptShellExecuteForHlinkNavigate.

Jak wygląda łańcuch eksploatacji (kampania “in the wild”)

Z perspektywy kampanii przypisanej do APT28, Akamai opisuje próbkę wykorzystującą złośliwy skrót Windows (.lnk), w którym osadzono HTML (doklejony zaraz po standardowej strukturze LNK). Taki plik ma inicjować komunikację z infrastrukturą atakującego (wskazany domenowy IOC), a sama technika eksploatacji używa m.in. zagnieżdżonych iframe’ów i wielu kontekstów DOM do manipulacji granicami zaufania.

Istotny szczegół: mechanika ma pozwalać na obejście Mark of the Web (MotW) oraz Internet Explorer Enhanced Security Configuration (IE ESC), czyli elementów, które normalnie utrudniają automatyczne/nieświadome uruchamianie treści i ostrzegają użytkownika.

Co zmienia poprawka

Według Akamai, fix polega na ostrzejszej walidacji protokołów w nawigacji hyperlinków tak, aby wspierane protokoły (np. file://, http://, https://) były obsługiwane w kontekście przeglądarki, zamiast trafiać “wprost” do ShellExecuteExW.

Praktyczne konsekwencje / ryzyko

• Ryzyko operacyjne: to nie jest “tylko bypass ostrzeżenia”. W realnym łańcuchu ataku omijanie MotW/ostrzeżeń znacząco podnosi skuteczność infekcji (większa szansa, iż payload uruchomi się bez podejrzanych promptów).
• Powierzchnia ataku: Akamai podkreśla, iż podatna ścieżka może zostać wywołana przez dowolny komponent osadzający MSHTML, więc wektory dostarczenia mogą wykraczać poza .lnk (np. inne scenariusze z osadzonym renderowaniem HTML).
• Priorytet patchowania: obecność w CISA KEV to silny sygnał, iż podatność jest praktycznie wykorzystywana i wymaga szybkich działań (KEV due date 2026-03-03).

Rekomendacje operacyjne / co zrobić teraz

1. Pilne wdrożenie poprawek z lutego 2026
   To podstawowa i docelowa mitigacja. Tenable i Akamai jednoznacznie wskazują, iż aktualizacje z February 2026 Security Updates / Patch Tuesday zamykają podatność.
2. Hunting/Detekcja pod kątem IOC (z raportu Akamai)
   Akamai publikuje konkretne wskaźniki, które warto wrzucić do SIEM/EDR oraz kontroli DNS/Proxy:
   • SHA-256 próbki LNK: aefd15e3c395edd16ede7685c6e97ca0350a702ee7c8585274b457166e86b1fa
   • Domena: wellnesscaremed[.]com
   • (mapowanie TTP) MITRE ATT&CK: T1204.001, T1566.001
3. Hardening “initial access” (jeśli patching nie jest natychmiastowy)
   • ogranicz uruchamianie/otwieranie .lnk i plików HTML z niezaufanych źródeł (polityki, ASR/EDR, ograniczenia w mail gateway)
   • wzmocnij kontrolę nad treściami pobieranymi z Internetu oraz strefami (gdzie możliwe) – bo celem ataku jest obejście ostrzeżeń kontekstowych (MotW)
4. Identyfikacja miejsc, gdzie MSHTML jest przez cały czas osadzone
   Skoro wektor może dotyczyć komponentów wykorzystujących legacy renderowanie, warto zidentyfikować aplikacje/komponenty w organizacji, które używają WebBrowser control / MSHTML i potraktować je jako podwyższone ryzyko.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W lutym 2026 obok CVE-2026-21513 pojawiły się podobne klasowo problemy (np. security feature bypass w Windows Shell oraz w Word). SANS ISC zwraca uwagę, iż wspólnym mianownikiem jest sytuacja, w której użytkownik nie jest adekwatnie ostrzegany przed uruchomieniem pobranego kodu/zasobów, a mechanizmy typu SmartScreen mają być obchodzone.

W praktyce: jeżeli organizacja miała już procesy “MotW/SmartScreen bypass triage”, CVE-2026-21513 pasuje do tej samej półki priorytetu.

Podsumowanie / najważniejsze wnioski

• CVE-2026-21513 to aktywnie wykorzystywany bypass mechanizmów ochronnych w MSHTML/IEFRAME, który w realnych kampaniach prowadzi do uruchomienia zasobów przez ścieżkę z ShellExecuteExW.
• Kampania opisana przez Akamai używa sprytnie spreparowanego .lnk z osadzonym HTML i technik manipulacji kontekstem DOM, aby ominąć MotW/IE ESC.
• Najważniejsze działania: patchowanie lutego 2026 + szybkie polowanie na IOC (hash + domena) i kontrola wektorów initial access opartych o .lnk/HTML.

Źródła / bibliografia

1. Akamai, Inside the Fix: Analysis of In-the-Wild Exploit of CVE-2026-21513 (20 Feb 2026). (akamai.com)
2. NVD (NIST), CVE-2026-21513 Detail (publ. 10 Feb 2026; KEV info, CVSS 8.8, CWE-693). (NVD)
3. Tenable, Microsoft’s February 2026 Patch Tuesday Addresses 54 CVEs… (10 Feb 2026). (Tenable®)
4. Rapid7 Vulnerability DB, Microsoft Windows: CVE-2026-21513… (10 Feb 2026). (Rapid7)
5. SANS ISC Diary, Microsoft Patch Tuesday – February 2026 (10 Feb 2026). (SANS Internet Storm Center)