Uma falha crítica explorada antes da correção
Uma vulnerabilidade zero-day no framework MSHTML da Microsoft, que permite a execução arbitrária de código e bypass de recursos de segurança, foi explorada ativamente pelo grupo de ameaças russo APT28 (também conhecido como Fancy Bear ou Sofacy) antes de ser corrigida no Patch Tuesday de fevereiro de 2026. A falha, catalogada como CVE-2026-21513 e com pontuação CVSS 8.8 (Alta), afeta todas as versões do Windows.
Descoberta e escopo
Pesquisadores da Akamai descobriram a exploração em andamento usando seu sistema multiagente de análise de causa raiz, PatchDiff-AI. A vulnerabilidade reside na função _AttemptShellExecuteForHlinkNavigate da biblioteca ieframe.dll, que é parte do mecanismo de renderização MSHTML usado pelo Internet Explorer e por outros componentes do Windows. A falha permite que entradas controladas por um atacante alcancem caminhos de código que invocam a função ShellExecuteExW, executando recursos locais ou remotos fora do contexto de segurança pretendido do navegador.
O que mudou agora
A correção da Microsoft, lançada em fevereiro de 2026, introduz uma validação mais rigorosa dos protocolos de hiperlink. O patch garante que protocolos suportados, como file://, http:// e https://, sejam executados dentro do contexto do navegador, em vez de serem passados diretamente para ShellExecuteExW. A exploração ativa antes da disponibilidade do patch caracteriza esta falha como um zero-day utilizado em campanhas direcionadas.
Vetor e exploração
Os analistas correlacionaram o caminho de código vulnerável com inteligência de ameaças pública e identificaram uma amostra maliciosa no VirusTotal submetida em 30 de janeiro de 2026. O arquivo, chamado document.doc.LnK.download, está ligado a infraestrutura associada ao APT28. A carga útil utiliza um arquivo de atalho do Windows (.lnk) especialmente manipulado que incorpora um arquivo HTML imediatamente após a estrutura LNK padrão. Ao ser executado, o arquivo LNK se conecta ao domínio wellnesscaremed[.]com, atribuído a campanhas de múltiplos estágios do APT28.
Segundo a análise da Akamai, o exploit usa iframes aninhados e múltiplos contextos do Document Object Model (DOM) para manipular os limites de confiança. Essa técnica contorna o "Mark of the Web" (MotW) e a Configuração de Segurança Avançada do Internet Explorer (IE ESC). Ao rebaixar o contexto de segurança, o atacante pode acionar o fluxo de navegação vulnerável e executar código arbitrário.
Impacto e alcance
A vulnerabilidade pode ser acionada por qualquer componente que incorpore o MSHTML, não apenas pelo Internet Explorer. Isso amplia significativamente a superfície de ataque, potencialmente afetando aplicações que utilizam o controle WebBrowser ou outros componentes que renderizam HTML. Embora os ataques observados tenham usado arquivos .LNK maliciosos, os pesquisadores alertam que outros vetores de entrega são possíveis.
Indicadores de Comprometimento (IOCs) e recomendações
A Akamai forneceu os seguintes IOCs para auxiliar equipes de defesa:
- Arquivo:
document.doc.LnK(SHA-256: aefd15e3c395edd16ede7685c6e97ca0350a702ee7c8585274b457166e86b1fa) - Domínio: wellnesscaremed[.]com
- Técnicas MITRE: T1204.001 (User Execution: Malicious File), T1566.001 (Phishing: Spearphishing Attachment)
Organizações são fortemente aconselhadas a aplicar imediatamente as atualizações de segurança de fevereiro de 2026 da Microsoft para mitigar o risco. Além disso, é crucial manter vigilância contra mecanismos de entrega alternativos e monitorar logs de sistema e rede por atividades suspeitas relacionadas aos IOCs fornecidos.