APT28 Explota CVE-2026-21513: Riesgo de Ataques Previos a Patch Tuesday
Publicado el
APT28 y la vulnerabilidad CVE-2026-21513
Recientes investigaciones de Akamai han revelado que APT28, un grupo de amenazas patrocinado por el estado ruso, podría haber explotado la vulnerabilidad CVE-2026-21513 antes de su corrección en el Patch Tuesday de febrero de 2026. Esta falla, con una puntuación CVSS de 8.8, afecta al MSHTML Framework y permite a los atacantes eludir mecanismos de seguridad.
Microsoft, en su informe sobre la vulnerabilidad, advirtió que un atacante no autorizado puede aprovechar un fallo en los mecanismos de protección de MSHTML a través de una red. La compañía corrigió esta vulnerabilidad en su actualización de febrero, pero también confirmó que había sido utilizada como un zero-day en ataques reales.
Mecanismos de Ataque
En un escenario hipotético, un atacante podría manipular a la víctima para que abra un archivo HTML malicioso o un archivo de acceso directo (LNK). Una vez que se abre el archivo, este altera la gestión del navegador y del Windows Shell, lo que permite que el contenido sea ejecutado por el sistema operativo. Esto posibilita que el atacante eluda las características de seguridad y, potencialmente, ejecute código malicioso.
Akamai ha identificado un artefacto malicioso subido a VirusTotal el 30 de enero de 2026, vinculado a la infraestructura asociada con APT28. Este artefacto fue señalado por el Computer Emergency Response Team de Ucrania (CERT-UA) en relación con ataques que utilizaban otra vulnerabilidad en Microsoft Office, CVE-2026-21509, con una puntuación CVSS de 7.8.
Detalles Técnicos de la Vulnerabilidad
La vulnerabilidad CVE-2026-21513 se origina en la lógica de ieframe.dll, que gestiona la navegación por hipervínculos. Se debe a una insuficiente validación de la URL de destino, permitiendo que la entrada controlada por el atacante alcance rutas de código que invocan ShellExecuteExW. Esto permite la ejecución de recursos locales o remotos fuera del contexto de seguridad previsto del navegador.
Según el investigador de seguridad Maor Dahan, el payload implica un acceso directo de Windows (LNK) elaborado que incluye un archivo HTML inmediatamente después de la estructura estándar del LNK. Este archivo LNK establece comunicación con el dominio `wellnesscaremed[.]com`, atribuido a APT28 y utilizado ampliamente en los payloads multietapa de la campaña.
La técnica utilizada permite a los atacantes eludir Mark-of-the-Web (MotW) y la Configuración de Seguridad Mejorada de Internet Explorer (IE ESC), lo que resulta en un descenso del contexto de seguridad y facilita la ejecución de código malicioso fuera del sandbox del navegador mediante ShellExecuteExW.
Conclusiones y Recomendaciones
Akamai también ha indicado que, aunque la campaña observada utiliza archivos LNK maliciosos, el camino de código vulnerable puede ser desencadenado a través de cualquier componente que incruste MSHTML. Por lo tanto, se debe esperar que se implementen mecanismos de entrega adicionales más allá del phishing basado en LNK.
La identificación y corrección de vulnerabilidades como CVE-2026-21513 son cruciales para mitigar los riesgos de seguridad. Los usuarios deben estar atentos a posibles ataques que utilicen estas técnicas y mantener sus sistemas actualizados para protegerse contra amenazas emergentes.