Một lỗ hổng bảo mật mới được tiết lộ và vá bởi Microsoft có thể đã bị khai thác bởi nhóm tác nhân đe dọa được nhà nước Nga bảo trợ, được gọi là APT28, theo những phát hiện mới từ Akamai.
Lỗ hổng đang được đề cập là CVE-2026-21513 (điểm CVSS: 8.8), một lỗ hổng bypass tính năng bảo mật mức độ nghiêm trọng cao ảnh hưởng đến MSHTML Framework.
"Lỗi cơ chế bảo vệ trong MSHTML Framework cho phép kẻ tấn công trái phép bypass tính năng bảo mật qua mạng," Microsoft lưu ý trong cảnh báo về lỗ hổng này. Nó đã được khắc phục bởi nhà sản xuất Windows như một phần của bản cập nhật Patch Tuesday tháng 2 năm 2026.
Tuy nhiên, gã khổng lồ công nghệ cũng lưu ý rằng lỗ hổng này đã bị khai thác như một zero-day trong các cuộc tấn công thực tế, ghi nhận công lao của Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC) và Office Product Group Security Team, cùng với Google Threat Intelligence Group (GTIG), vì đã báo cáo.
Trong một kịch bản tấn công giả định, một threat actor có thể vũ khí hóa lỗ hổng bằng cách thuyết phục nạn nhân mở một tệp HTML độc hại hoặc tệp shortcut (LNK) được gửi qua một liên kết hoặc dưới dạng tệp đính kèm email.
Microsoft lưu ý, một khi tệp được tạo thủ công được mở, nó sẽ thao túng việc xử lý của trình duyệt và Windows Shell, khiến nội dung bị hệ điều hành thực thi. Điều này, đến lượt nó, cho phép kẻ tấn công bypass các tính năng bảo mật và có khả năng đạt được code execution.
Mặc dù công ty chưa chính thức chia sẻ bất kỳ chi tiết nào về nỗ lực khai thác zero-day, Akamai cho biết họ đã xác định một artifact độc hại đã được tải lên VirusTotal vào ngày 30 tháng 1 năm 2026, và có liên quan đến cơ sở hạ tầng được liên kết với APT28.
Điều đáng chú ý là mẫu này đã được gắn cờ bởi Đội Ứng cứu Khẩn cấp Máy tính Ukraine (CERT-UA) vào đầu tháng trước liên quan đến các cuộc tấn công của APT28 khai thác một lỗ hổng bảo mật khác trong Microsoft Office (CVE-2026-21509, điểm CVSS: 7.8).
Công ty cơ sở hạ tầng web cho biết CVE-2026-21513 bắt nguồn từ logic bên trong "ieframe.dll" xử lý điều hướng siêu liên kết, và đó là kết quả của việc xác thực URL đích không đầy đủ, cho phép đầu vào do kẻ tấn công kiểm soát đến các đường dẫn mã gọi ShellExecuteExW. Điều này, đến lượt nó, cho phép thực thi các tài nguyên cục bộ hoặc từ xa bên ngoài ngữ cảnh bảo mật trình duyệt dự kiến.
"Payload này liên quan đến một Windows Shortcut (LNK) được tạo thủ công đặc biệt nhúng một tệp HTML ngay sau cấu trúc LNK tiêu chuẩn," nhà nghiên cứu bảo mật Maor Dahan cho biết. "Tệp LNK bắt đầu liên lạc với miền wellnesscaremed[.]com, được gán cho APT28 và đã được sử dụng rộng rãi cho các payload đa tầng của chiến dịch. Mã khai thác tận dụng các iframe lồng nhau và nhiều ngữ cảnh DOM để thao túng các ranh giới tin cậy."
Akamai lưu ý rằng kỹ thuật này cho phép kẻ tấn công bypass Mark-of-the-Web (MotW) và Internet Explorer Enhanced Security Configuration (IE ESC), dẫn đến việc hạ cấp ngữ cảnh bảo mật và cuối cùng tạo điều kiện cho việc thực thi mã độc bên ngoài sandbox của trình duyệt thông qua ShellExecuteExW.
"Trong khi chiến dịch được quan sát khai thác các tệp LNK độc hại, đường dẫn mã dễ bị tổn thương có thể được kích hoạt thông qua bất kỳ thành phần nào nhúng MSHTML," công ty nói thêm. "Do đó, nên dự kiến các cơ chế phân phối bổ sung ngoài phishing dựa trên LNK."
