🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma falha de segurança recentemente divulgada e corrigida pela Microsoft pode ter sido explorada pelo ator de ameaça patrocinado pelo Estado, ligado à Rússia, conhecido como APT28, de acordo com novas descobertas da Akamai.
A vulnerabilidade em questão é CVE-2026-21513 (pontuação CVSS: 8,8), um desvio de recurso de segurança de alta gravidade que afeta o MSHTML Framework.
“A falha do mecanismo de proteção no MSHTML Framework permite que um invasor não autorizado contorne um recurso de segurança em uma rede”, observou a Microsoft em seu comunicado sobre a falha. Foi corrigido pelo fabricante do Windows como parte da atualização Patch Tuesday de fevereiro de 2026.
No entanto, a gigante da tecnologia também observou que a vulnerabilidade foi explorada como um dia zero em ataques do mundo real, creditando o Microsoft Threat Intelligence Center (MSTIC), o Microsoft Security Response Center (MSRC) e a equipe de segurança do grupo de produtos do Office, juntamente com o Google Threat Intelligence Group (GTIG), por reportá-la.
Em um cenário hipotético de ataque, um agente de ameaça poderia transformar a vulnerabilidade em uma arma, persuadindo a vítima a abrir um arquivo HTML malicioso ou arquivo de atalho (LNK) entregue por meio de um link ou como anexo de e-mail.
Depois que o arquivo criado é aberto, ele manipula o navegador e o shell do Windows, fazendo com que o conteúdo seja executado pelo sistema operacional, observou a Microsoft. Isso, por sua vez, permite que o invasor contorne os recursos de segurança e potencialmente consiga a execução do código.
Embora a empresa não tenha compartilhado oficialmente quaisquer detalhes sobre o esforço de exploração de dia zero, a Akamai disse que identificou um artefato malicioso que foi carregado no VirusTotal em 30 de janeiro de 2026 e está associado à infraestrutura vinculada ao APT28.
É importante notar que a amostra foi sinalizada pela Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) no início do mês passado em conexão com os ataques do APT28 que exploravam outra falha de segurança no Microsoft Office (CVE-2026-21509, pontuação CVSS: 7,8).
A empresa de infraestrutura web disse que CVE-2026-21513 está enraizado na lógica de “ieframe.dll” que lida com a navegação de hiperlink e que é o resultado de validação insuficiente do URL de destino, que permite que entradas controladas pelo invasor alcancem caminhos de código que invocam ShellExecuteExW. Isto, por sua vez, permite a execução de recursos locais ou remotos fora do contexto de segurança pretendido do navegador.
“Esta carga envolve um atalho do Windows (LNK) especialmente criado que incorpora um arquivo HTML imediatamente após a estrutura LNK padrão”, disse o pesquisador de segurança Maor Dahan. "O arquivo LNK inicia a comunicação com o domínio wellnesscaremed[.]com, que é atribuído ao APT28 e tem sido amplamente utilizado para as cargas úteis de vários estágios da campanha. A exploração aproveita iframes aninhados e vários contextos DOM para manipular os limites de confiança."
Akamai observou que a técnica permite que um invasor contorne o Mark-of-the-Web (MotW) e a configuração de segurança aprimorada do Internet Explorer (IE ESC), levando a um downgrade do contexto de segurança e, em última análise, facilitando a execução de código malicioso fora da sandbox do navegador via ShellExecuteExW.
“Embora a campanha observada aproveite arquivos LNK maliciosos, o caminho do código vulnerável pode ser acionado por meio de qualquer componente que incorpore MSHTML”, acrescentou a empresa. “Portanto, devem ser esperados mecanismos de entrega adicionais além do phishing baseado em LNK”.
A vulnerabilidade em questão é CVE-2026-21513 (pontuação CVSS: 8,8), um desvio de recurso de segurança de alta gravidade que afeta o MSHTML Framework.
“A falha do mecanismo de proteção no MSHTML Framework permite que um invasor não autorizado contorne um recurso de segurança em uma rede”, observou a Microsoft em seu comunicado sobre a falha. Foi corrigido pelo fabricante do Windows como parte da atualização Patch Tuesday de fevereiro de 2026.
No entanto, a gigante da tecnologia também observou que a vulnerabilidade foi explorada como um dia zero em ataques do mundo real, creditando o Microsoft Threat Intelligence Center (MSTIC), o Microsoft Security Response Center (MSRC) e a equipe de segurança do grupo de produtos do Office, juntamente com o Google Threat Intelligence Group (GTIG), por reportá-la.
Em um cenário hipotético de ataque, um agente de ameaça poderia transformar a vulnerabilidade em uma arma, persuadindo a vítima a abrir um arquivo HTML malicioso ou arquivo de atalho (LNK) entregue por meio de um link ou como anexo de e-mail.
Depois que o arquivo criado é aberto, ele manipula o navegador e o shell do Windows, fazendo com que o conteúdo seja executado pelo sistema operacional, observou a Microsoft. Isso, por sua vez, permite que o invasor contorne os recursos de segurança e potencialmente consiga a execução do código.
Embora a empresa não tenha compartilhado oficialmente quaisquer detalhes sobre o esforço de exploração de dia zero, a Akamai disse que identificou um artefato malicioso que foi carregado no VirusTotal em 30 de janeiro de 2026 e está associado à infraestrutura vinculada ao APT28.
É importante notar que a amostra foi sinalizada pela Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) no início do mês passado em conexão com os ataques do APT28 que exploravam outra falha de segurança no Microsoft Office (CVE-2026-21509, pontuação CVSS: 7,8).
A empresa de infraestrutura web disse que CVE-2026-21513 está enraizado na lógica de “ieframe.dll” que lida com a navegação de hiperlink e que é o resultado de validação insuficiente do URL de destino, que permite que entradas controladas pelo invasor alcancem caminhos de código que invocam ShellExecuteExW. Isto, por sua vez, permite a execução de recursos locais ou remotos fora do contexto de segurança pretendido do navegador.
“Esta carga envolve um atalho do Windows (LNK) especialmente criado que incorpora um arquivo HTML imediatamente após a estrutura LNK padrão”, disse o pesquisador de segurança Maor Dahan. "O arquivo LNK inicia a comunicação com o domínio wellnesscaremed[.]com, que é atribuído ao APT28 e tem sido amplamente utilizado para as cargas úteis de vários estágios da campanha. A exploração aproveita iframes aninhados e vários contextos DOM para manipular os limites de confiança."
Akamai observou que a técnica permite que um invasor contorne o Mark-of-the-Web (MotW) e a configuração de segurança aprimorada do Internet Explorer (IE ESC), levando a um downgrade do contexto de segurança e, em última análise, facilitando a execução de código malicioso fora da sandbox do navegador via ShellExecuteExW.
“Embora a campanha observada aproveite arquivos LNK maliciosos, o caminho do código vulnerável pode ser acionado por meio de qualquer componente que incorpore MSHTML”, acrescentou a empresa. “Portanto, devem ser esperados mecanismos de entrega adicionais além do phishing baseado em LNK”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #apt28 #vinculado #a #cve202621513 #mshtml #0day #explorado #antes #do #patch #de #terçafeira #de #fevereiro #de #2026
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário