A Microsoft resolveu no adesivo de fevereiro de 2026 uma vulnerabilidade grave no motor MSHTML que já estava sendo aproveitada em ambientes reais, e os indícios apontam para o possível envolvimento de APT28, o grupo patrocinado pelo Estado russo conhecido por operações sofisticadas contra objetivos políticos e militares. O problema, identificado como CVE-2026-21513(CVSS 8.8), não é uma simples falha local: permite que conteúdo malicioso escape do contexto seguro do navegador e seja executado pelo sistema operacional.
Em seu aviso, a Microsoft descreveu a vulnerabilidade como uma falha nas proteções do MSHTML Framework que poderia ser explorada através da manipulação de navegação por hiperlinks. O fabricante confirmou ainda que a falha tinha sido explorada como um zero-day em ataques reais e agradeceu a colaboração de vários equipamentos de inteligência e resposta, incluindo MSTIC e GTIG. Você pode consultar o guia da correção na página oficial da Microsoft: msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21513.
As análises técnicas publicadas por assinaturas de segurança mostram como o erro reside no módulo encarregado de processar a navegação por ligações (ieframe.dll). Devido a uma validação insuficiente do URL de destino, entradas controladas pelo atacante podem chegar a rotas de código que invocam a API do sistema encarregada de lançar recursos fora do navegador, nomeadamente ShellExecuteExW. Essa invocação permite executar recursos locais ou remotos com privilégios do contexto de usuário, anulando assim as barreiras que normalmente impõem a sandbox do navegador.
A tática observada na campanha que relacionam com APT28 foi engenhosa e relativamente simples ao mesmo tempo: os atacantes prepararam acessos diretos do Windows (.LNK) manipulados que incluem um arquivo HTML imediatamente após a estrutura padrão do LNK. Ao abrir esse acesso direto, o comportamento de manejo do navegador e da Shell do Windows é forçado a processar o conteúdo incorporado, e por meio de iframes aninhados e a exploração de múltiplos contextos DOM se consegue que áreas de confiança se mezclem com conteúdo controlado pelo atacante. O resultado é um salto de contexto que permite executar código fora do navegador.
A empresa Akamai, que publicou uma análise exaustiva da técnica, identificou também um artefato malicioso subido ao VírusTotal em 30 de janeiro de 2026 que se relaciona com infraestrutura atribuída a APT28. Esse padrão encaixa com campanhas prévias do ator e com domínios usados em etapas múltiplas de infecção; por exemplo, tem sido relatado o uso do domínio wellnesscaremed[.]com nessa operação. O relatório da Akamai oferece detalhes técnicos e pode ser lido aqui: Akamai - Inside the fix: CVE-2026-21513, e o artefato identificado aparece no VírusTotal neste link: Vírus total (mostra).
Para além da curiosidade técnica, há duas razões pelas quais esta falha alarmou os equipamentos de segurança: primeiro, a capacidade de soslayar marcas de segurança como o Mark-of-the-Web (MotW) e as configurações de segurança reforçadas do Internet Explorer (IE ESC), o que degrada o contexto de confiança que o Windows aplica a arquivos baixados ou abertos da rede; segundo, a vulnerabilidade pode ser ativada a partir de qualquer componente que integre MSHTML, não só a partir de acessos diretos LNK, pelo que os vetores de entrega são variados e poderiam incluir documentos incorporados, páginas web manipuladas ou clientes que usam MSHTML embebido. Para entender por que o MotW importa nesses cenários, um bom recurso explicativo é este artigo sobre o tema: Rede Canary - Mark-of-the-Web bypass, e a informação sobre a configuração reforçada do Internet Explorer está na documentação da Microsoft: IE ESC - Microsoft Docs.
Se traduzirmos isto em recomendações concretas, a primeira e mais urgente é instalar os sistemas oficiais: sistemas Windows afetados pela atualização de fevereiro 2026 elimina a janela de exploração conhecida e é o passo mais efetivo para mitigar o risco. A Microsoft publicou a correção e seus detalhes técnicos em seu centro de resposta a vulnerabilidades, pelo que as equipes de TI devem priorizar essa atualização: Guia da Microsoft sobre CVE-2026-21513.
Em paralelo, as defesas operacionais e de detecção devem ser ajustadas. É conveniente restringir a abertura automática de acessos directos (.LNK) e tratar com precaução os ficheiros HTML recebidos por correio ou descarregados, endurecer as regras de filtragem de correio e descarregamento, e monitorizar as ligações a domínios suspeitos que apareceram na campanha. Para equipes de resposta, revisar telemetria relacionada com chamadas a ShellExecuteExW, processos que lancem navegadores a partir de contextos incomuns e cargas úteis encadeadas podem ser úteis para detectar compromissos. É também aconselhável verificar soluções EDR/AV para detecção de amostras semelhantes e validar a existência de indicadores de compromisso presentes nos relatórios públicos.
Finalmente, é preciso lembrar que APT28 não é um ator novel e seu modus operandi incluiu frequentemente campanhas de spear-phishing e exploração de falhas em produtos amplamente implantados. Para contextualizar quem é este grupo e por que o seu envolvimento aumenta o risco, você pode consultar a ficha de atores na base do MITRE ATT&CK: MITRE ATT&CK - APT28. A colaboração entre equipes de resposta e empresas de inteligência foi fundamental para identificar e corrigir a falha antes de se expandir, mas a existência de amostras e domínios vinculados deixa claro que a ameaça esteve ativa e que a administração de adesivos e boas práticas de higiene digital continuam sendo a defesa mais confiável.
Se você gerencia sistemas Windows, prioriza a atualização, educa os usuários para não abrir links ou arquivos suspeitos, e coordena com sua equipe de segurança a busca de sinais que indiquem que alguém poderia ter tentado explorar essa vulnerabilidade em seu ambiente.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...