微軟近期修補的一個安全漏洞,可能已被俄羅斯國家支援的
駭客組織 APT28 利用。根據 Akamai 的最新研究,這個編號為
CVE-2026-21513 的漏洞
影響 MSHTML 框架,CVSS 評分高達 8.8 分,屬於高嚴重性的安全功能繞過漏洞。
微軟在安全公告中指出,
MSHTML 框架的保護機制失效,讓未授權攻擊者能透過網路繞過安全功能。微軟已在 2026 年 2 月的每月更新中修補此漏洞。值得注意的是,微軟證實該漏洞在修補前已被當作零時差漏洞在實際攻擊中利用。微軟威脅情報中心(MSTIC)、微軟安全回應中心(MSRC)、Office 產品安全團隊及 Google 威脅情報小組(GTIG)共同發現並通報了這個漏洞。
攻擊手法與技術細節
在典型的攻擊場景中,威脅行為者會誘騙受害者開啟惡意的 HTML 檔案或捷徑檔(LNK),這些檔案可能透過連結或電子郵件附件傳送。一旦受害者開啟這些精心設計的檔案,檔案會操控瀏覽器和 Windows Shell 的處理方式,導致作業系統執行其中的內容,使攻擊者得以繞過安全功能並執行惡意程式碼。
微軟並未公開零時差攻擊的具體細節,但資安業者 Akamai 已發現一個惡意檔案,於 2026 年 1 月 30 日上傳至 VirusTotal,該檔案與 APT28 相關的基礎設施有關。烏克蘭電腦緊急應變小組(CERT-UA)在上個月初已標記這個樣本,當時 APT28 正利用另一個 Microsoft Office 漏洞
CVE-2026-21509(CVSS 評分 7.8)發動攻擊。
根據 Akamai 的技術分析,
CVE-2026-21513 的根本原因在於 ieframe.dll 處理超連結導覽時的邏輯問題。此漏洞源於對目標 URL 的驗證不足,使攻擊者能透過控制輸入來觸發 ShellExecuteExW 函式,進而在瀏覽器安全環境之外執行本機或遠端資源。
安全研究員 Maor Dahan 解釋,這個攻擊載荷使用特製的 Windows 捷徑檔(LNK),在標準 LNK 結構後直接嵌入 HTML 檔案。LNK 檔案會與 wellnesscaremed[.]com 網域通訊,該網域已被認定與 APT28 有關,並廣泛用於該組織的多階段攻擊。此攻擊手法利用巢狀 iframe 和多重 DOM 環境來操控信任邊界。
繞過多重安全機制
Akamai 指出,這項技術讓攻擊者能繞過
網路來源標記(Mark-of-the-Web,MotW)和
IE 增強安全性設定(Internet Explorer Enhanced Security Configuration,IE ESC),使安全環境降級,最終透過 ShellExecuteExW 在瀏覽器沙箱外執行惡意程式碼。
研究人員也提醒,雖然目前觀察到的攻擊活動主要使用惡意 LNK 檔案,但任何嵌入 MSHTML 的元件都可能觸發此漏洞,因此預期將出現 LNK 釣魚以外的其他攻擊手法。
防護建議
- 立即安裝微軟 2026 年 2 月的安全更新以修補 CVE-2026-21513 漏洞
- 提高使用者對釣魚攻擊的警覺,尤其是來路不明的 HTML 或 LNK 檔案
- 加強郵件閘道過濾,阻擋可疑的附件檔案類型
- 監控 ShellExecuteExW 相關的異常活動
- 部署端點偵測與回應(EDR)解決方案,偵測類似的攻擊行為
本文轉載自 TheHackerNews。