文章总结： 俄罗斯APT28组织利用MSHTML框架0Day漏洞CVE-2026-21513实施攻击，微软已在2026年2月修复该高危漏洞。攻击者通过恶意LNK或HTML文件诱导用户，利用ieframe.dll逻辑缺陷绕过网络标记和IE安全配置，在沙箱外执行恶意代码。Akamai确认样本与APT28关联，建议用户及时修补漏洞并警惕钓鱼文件。 综合评分： 82 文章分类： 威胁情报,漏洞分析,漏洞预警

APT28组织利用MSHTML框架0Day漏洞在微软补丁发布前实施攻击

FreeBuf

2026年3月3日 18:06 上海

#

Akamai最新研究发现，与俄罗斯有关联的国家级威胁组织APT28可能已利用微软近期修补的一个安全漏洞实施攻击。该漏洞编号为CVE-2026-21513（CVSS评分：8.8），属于MSHTML框架安全功能绕过漏洞，危害等级为高危。

微软在漏洞公告中指出：”MSHTML框架的保护机制失效，可使未经授权的攻击者通过网络绕过安全功能。”微软已在2026年2月补丁星期二更新中修复该漏洞。但微软同时确认，该漏洞在现实攻击中已被作为0Day利用，并感谢微软威胁情报中心（MSTIC）、微软安全响应中心（MSRC）、Office产品组安全团队以及谷歌威胁情报小组（GTIG）的报告。

#

Part01

攻击技术分析

在典型攻击场景中，攻击者会诱骗受害者打开通过链接或邮件附件传送的恶意HTML文件或快捷方式（LNK）文件。微软指出，当精心构造的文件被打开后，会操纵浏览器和Windows Shell的处理流程，导致操作系统执行恶意内容，从而使攻击者绕过安全功能并可能实现代码执行。

虽然微软未正式公布0Day利用的具体细节，但Akamai表示已识别出2026年1月30日上传至VirusTotal的恶意样本，该样本与APT28关联的基础设施存在联系。值得注意的是，乌克兰计算机应急响应小组（CERT-UA）上月初已将该样本标记为APT28利用另一个微软Office漏洞（CVE-2026-21509，CVSS评分：7.8）实施攻击的关联样本。

Part02

漏洞利用机制

Akamai分析指出，CVE-2026-21513漏洞源于”ieframe.dll”中处理超链接导航的逻辑缺陷，由于对目标URL验证不足，导致攻击者控制的输入可到达调用ShellExecuteExW的代码路径，从而在预期浏览器安全上下文之外执行本地或远程资源。

安全研究员Maor Dahan表示：”该攻击载荷包含一个精心构造的Windows快捷方式（LNK），在标准LNK结构后直接嵌入HTML文件。LNK文件会启动与wellnesscaremed[.]com域名的通信，该域名归属于APT28，已被广泛用于攻击活动的多阶段载荷分发。漏洞利用通过嵌套iframe和多DOM上下文操纵信任边界。”

Part03

安全防护绕过

Akamai强调，该技术可使攻击者绕过网络标记（MotW）和Internet Explorer增强安全配置（IE ESC），导致安全上下文降级，最终通过ShellExecuteExW在浏览器沙箱外执行恶意代码。公司补充说明：”虽然已观测到的攻击活动主要利用恶意LNK文件，但任何嵌入MSHTML的组件都可能触发漏洞代码路径。因此，除基于LNK的钓鱼攻击外，还应防范其他可能的传播方式。”

参考来源：

APT28 Tied to CVE-2026-21513 MSHTML 0-Day Exploited Before Feb 2026 Patch Tuesday

https://thehackernews.com/2026/03/apt28-tied-to-cve-2026-21513-mshtml-0.html

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《APT28组织利用MSHTML框架0Day漏洞在微软补丁发布前实施攻击》