Die russische Hackergruppe APT28 hat einer Analyse von Akamai zufolge die Microsoft-Sicherheitslücke CVE-2026-21513 bereits vor dem offiziellen Patch im Februar 2026 als Zero-Day-Exploit eingesetzt.
Eine kürzlich von Microsoft behobene Sicherheitslücke ist Erkenntnissen des Sicherheitsunternehmens Akamai zufolge von der russischen Staat-gestützten Hackergruppe APT28 ausgenutzt worden. Bei der Schwachstelle CVE-2026-21513 (CVSS-Wert: 8.8) handelt es sich um eine hochgradige Sicherheitsfunktion im MSHTML-Framework, die es Angreifern ermöglichte, Schutzmaßnahmen zu umgehen. Microsoft behob das Problem mit seinem Februarpatch 2026.
Das Unternehmen bestätigte, dass die Lücke bereits vor der offiziellen Veröffentlichung als Zero-Day-Exploit in realen Angriffen eingesetzt wurde – ein Fund, an dem das Microsoft Threat Intelligence Center (MSTIC), das Microsoft Security Response Center (MSRC) und die Google Threat Intelligence Group beteiligt waren.
Dem Angriffsschema nach könnten Cyberkriminelle das HTML- oder LNK-Framework durch manipulierte Dateien als E-Mail-Anhänge oder Links verbreiten. Beim Öffnen manipuliert die Malware die Browser- und Windows-Shell-Verarbeitung und ermöglicht damit die Codeausführung mit Systemrechten.
Akamai identifizierte ein verdächtiges Artefakt, das am 30. Januar 2026 bei VirusTotal eingereicht wurde und mit APT28-Infrastruktur verbunden ist. Bereits im Januar warnte die ukrainische CERT-UA vor ähnlichen Angriffen der Gruppe, die auch CVE-2026-21509 ausnutzte – eine weitere Microsoft-Office-Lücke.
Die Schwachstelle betrifft die Hyperlink-Verarbeitung in der Datei “ieframe.dll”. Unzureichende URL-Validierung ermöglicht es, dass kontrollierte Eingaben bis zur ShellExecuteExW-Funktion gelangen, was die Ausführung lokaler oder entfernter Ressourcen außerhalb des Browser-Sicherheitskontextes erlaubt.
Dem Sicherheitsexperten Maor Dahan zufolge nutzt die Kampagne speziell präparierte Windows-Shortcuts (LNK-Dateien), in die HTML-Inhalte eingebettet sind. Diese kommunizieren mit der APT28-Domain “wellnesscaremed[.]com” und setzen verschachtelte iframes ein, um Vertrauensgrenzen zu manipulieren. Damit lässt sich das Mark-of-the-Web-Flag und die IE Enhanced Security Configuration umgehen.
Akamai warnt, dass neben LNK-basierten Phishing-Angriffen auch andere Angriffsszenarien möglich sind, da jede Komponente, die MSHTML nutzt, potenziell anfällig ist.
Quelle: The Hacker News