Microsoft löste im Februar 2026 eine ernsthafte Sicherheitslücke in der MSHTML-Engine, die bereits in realen Umgebungen verwendet wurde, und die Anzeichen zeigen auf die mögliche Beteiligung von APT28, der russischen staatlichen Gruppe bekannt für anspruchsvolle Operationen gegen politische und militärische Ziele. Das Problem, identifiziert als CVE-2026-21513(CVSS 8.8), ist kein einfacher lokaler Fehler: es erlaubt schädliche Inhalte aus dem sicheren Browser-Kontext zu entkommen und wird vom Betriebssystem ausgeführt.
In seiner Mitteilung beschrieb Microsoft die Verwundbarkeit als ein Misserfolg in den Schutz des MSHTML Framework, das durch Hyperlink-Navigation Manipulation ausgenutzt werden konnte. Der Hersteller bestätigte ferner, dass der Ausfall als Nulltag bei realen Angriffen ausgenutzt worden war und mehrere Geheimdienst- und Antwortteams, darunter MSTIC und GTIG, dankte. Die Korrekturanleitung ist auf der offiziellen Microsoft-Seite verfügbar: msrc.microsoft.com / update-guide / vulnerability / CVE-2026-21513.
Technische Analysen, die von Sicherheitsfirmen veröffentlicht werden, zeigen, wie der Fehler im Modul liegt, das für die Verarbeitung von Link-Navigation verantwortlich ist (ieframe.dll). Aufgrund der unzureichenden Validierung der Ziel-URL können angreifergesteuerte Einträge Code-Routen erreichen, die die API des Systems für das Starten von Ressourcen außerhalb des Browsers aufrufen, insbesondere ShellExecuteEx. Diese Invokation ermöglicht es Ihnen, lokale oder Remote-Ressourcen mit Benutzerkontext-Privilegien auszuführen und so die Barrieren, die die Browser-Sandbox normalerweise auferlegt, zu eliminieren.
Die in der Kampagne beobachtete Taktik, die mit APT28 zusammenhängt, war genial und relativ einfach zugleich: Die Angreifer bereiteten direkten Zugriff auf manipulierte Windows (.LNK), die unmittelbar nach der Standardstruktur der LNK eine HTML-Datei enthalten. Durch das Öffnen dieses direkten Zugriffs wird das Managementverhalten des Windows-Browsers und Shell gezwungen, den eingebetteten Inhalt zu verarbeiten, und durch verschachtelte iframas und die Ausbeutung mehrerer DOM-Kontexte kann man Vertrauensbereiche in Verbindung mit Inhalten, die vom Angreifer kontrolliert werden, bekommen. Das Ergebnis ist ein Kontextsprung, mit dem Sie Code aus dem Browser ausführen können.
Akamai, der eine umfassende Analyse der Technik veröffentlicht hat, identifizierte auch ein schädliches Gerät auf VirusTotal am 30. Januar 2026 bezogen auf die Infrastruktur APT28. Dieses Muster passt zu früheren Kampagnen des Schauspielers und mit Domänen, die in mehreren Phasen der Infektion verwendet werden; zum Beispiel wurde die Verwendung der Wellnesscaremed [.] com Domain in dieser Operation gemeldet. Der Akamai-Bericht enthält technische Details und kann hier gelesen werden: Akamai - Im Inneren der fix: CVE-2026-21513, und das identifizierte Artefakt erscheint in VirusTotal in diesem Link: Gesamt (Probe).
Neben der technischen Neugier gibt es zwei Gründe, warum dieser Fehler alarmierte Sicherheitsteams: erstens die Fähigkeit, Sicherheitsmarken wie das Mark-of-the-Web (MotW) und die erweiterten Sicherheitseinstellungen des Internet Explorer (IE ESC) zu umgehen, die den Vertrauenskontext, den Windows für heruntergeladene oder geöffnete Dateien aus dem Netzwerk anwendet, abbauen; zweitens können Schwachstellen von jeder Komponente aktiviert werden, die MSHTML-Lie liefert, nicht nur von diesen LNK verwendet werden. Um zu verstehen, warum die MotW in diesen Szenarien zählt, ist dieser Artikel zu dem Thema: Roter Kanar - Mark-of-the-Web Bypass, und die Informationen über die erweiterte Konfiguration des Internet Explorers finden Sie in der Microsoft-Dokumentation: IE ESC - Microsoft Docs.
Wenn wir dies in konkrete Empfehlungen übersetzen, ist die erste und dringendste, die offiziellen Patches zu installieren: zum Parken von Windows-Systemen, die vom Februar 2026-Update betroffen sind, beseitigt das bekannte Betriebssystemfenster und ist der effektivste Schritt, um das Risiko zu mindern. Microsoft veröffentlichte die Korrektur und seine technischen Details in seinem Sicherheits-Responsibility-Center, so dass IT-Teams sollten priorisieren dieses Update: Microsoft Guide to CVE-2026-21513.
Parallel dazu sollten die operativen und Nachweisabwehre angepasst werden. Es ist angebracht, die automatische Öffnung des direkten Zugriffs (.LNK) einzuschränken und mit Vorsicht die HTML-Dateien, die per Post empfangen oder heruntergeladen wurden, zu behandeln, die Regeln der Filterung von Post und Download zu verschärfen und die Verbindungen zu verdächtigen Domains zu überwachen, die in der Kampagne erschienen sind. Für Antwort-Teams, Überprüfung Telemetrie im Zusammenhang mit Anrufen an ShellExecuteExW, Prozesse, die Browser aus ungewöhnlichen Kontexten und geketteten Nutzlasten starten kann nützlich sein, um Verpflichtungen zu erkennen. Es ist auch ratsam, EDR / AV-Lösungen zum Nachweis ähnlicher Proben zu überprüfen und das Vorhandensein von Verpflichtungsindikatoren, die in öffentlichen Berichten vorhanden sind, zu validieren.
Schließlich muss daran erinnert werden, dass APT28 kein neuer Schauspieler ist und sein Modus operandi oft Speed-Phishing-Kampagnen und die Ausbeutung von Ausfällen in weit verbreiteten Produkten enthalten hat. Um zu kontextualisieren, wer diese Gruppe ist und warum ihre Beteiligung das Risiko erhöht, kann die Registerkarte der Akteure auf der MITRE ATT & CK-Basis gefunden werden: MITRE ATT & CK - APT28. Die Zusammenarbeit zwischen Reaktionsteams und Geheimdiensten war der Schlüssel zur Identifizierung und Korrektur des Scheiterns, bevor es erweitert wurde, aber die Existenz von verknüpften Proben und Domänen macht deutlich, dass die Bedrohung aktiv war und dass Patch-Management und gute digitale Hygienepraxis die zuverlässigste Verteidigung bleiben.
Wenn Sie Windows-Systeme verwalten, priorisieren Sie das Update, erziehen Sie Benutzer nicht, um Links oder verdächtige Dateien zu öffnen, und koordinieren Sie mit Ihrem Sicherheitsteam die Suche nach Signalen, die versucht haben, diese Schwachstelle in Ihrer Umgebung auszunutzen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...