A vulnerabilidade CVE-2026-21513 afeta o MSHTML Framework e foi explorada antes do Patch Tuesday de fevereiro de 2026 por meio de arquivos HTML ou LNK maliciosos capazes de acionar execução fora do contexto esperado do navegador.
| Componente | MSHTML Framework, com lógica vulnerável associada ao tratamento de navegação por hiperlinks em ieframe.dll. |
| Vetor | Abertura de arquivo HTML ou atalho LNK malicioso entregue por link ou anexo de e-mail, com manipulação de browser, Windows Shell, iframes e múltiplos contextos DOM. |
| Impacto | Bypass de mecanismos de segurança, rebaixamento do contexto de segurança e possível execução de código fora do sandbox do navegador por caminhos que invocam ShellExecuteExW. |
| Prioridade | Aplicar a atualização do Patch Tuesday de fevereiro de 2026, revisar exposição a arquivos LNK e HTML recebidos por e-mail ou links externos e procurar artefatos associados à campanha observada. |
| Versões | A correção foi distribuída pela Microsoft no Patch Tuesday de fevereiro de 2026; o contexto não detalha ramos ou builds específicos do Windows. |
| Artefatos | Foi observado um atalho LNK especialmente construído com um arquivo HTML incorporado após a estrutura padrão do LNK. |
| IoCs | O domínio defangado wellnesscaremed[.]com foi associado à comunicação iniciada pelo LNK observado e à infraestrutura vinculada à campanha. |
A vulnerabilidade CVE-2026-21513 é uma falha de alta severidade no MSHTML Framework, com pontuação CVSS 8.8, classificada como bypass de recurso de segurança. O problema foi corrigido no ciclo Patch Tuesday de fevereiro de 2026, mas já havia sido explorado em ataques reais antes da disponibilização da atualização. O ponto central da falha é a capacidade de manipular a forma como o MSHTML, o navegador embutido e o Windows Shell processam determinados artefatos, permitindo que conteúdo controlado pelo atacante atravesse fronteiras de confiança que deveriam limitar a execução.
O cenário descrito envolve engenharia social para levar a vítima a abrir um arquivo HTML malicioso ou um atalho LNK entregue por link ou anexo de e-mail. Depois da abertura, o artefato força interações entre o mecanismo de renderização, a navegação por hiperlinks e o Shell do Windows. Esse fluxo permite contornar controles como Mark-of-the-Web e Internet Explorer Enhanced Security Configuration, reduzindo o contexto de proteção e viabilizando execução de código fora do sandbox pretendido. A atividade foi vinculada a infraestrutura associada ao APT28, mas os detalhes públicos não descrevem a cadeia completa pós-exploração.
A raiz técnica indicada está em ieframe.dll, na lógica responsável por tratar navegação por hiperlinks. A validação insuficiente do URL de destino permite que entrada controlada alcance caminhos de código que chamam ShellExecuteExW. Esse comportamento é sensível porque ShellExecuteExW não apenas navega ou abre recursos no contexto de um documento; ele pode delegar a abertura de recursos locais ou remotos ao sistema operacional. Quando acionado a partir de um contexto manipulado, esse caminho rompe a expectativa de isolamento do conteúdo e desloca a ação para fora das proteções normalmente aplicadas ao navegador.
O artefato observado usa um LNK especialmente criado que incorpora um HTML logo após a estrutura padrão do atalho. Ao ser aberto, o LNK inicia comunicação com o domínio defangado wellnesscaremed[.]com e aciona uma construção baseada em iframes aninhados e múltiplos contextos DOM. A finalidade técnica dessa composição é alterar a interpretação de confiança entre componentes, incluindo MSHTML, navegador e Shell. O efeito prático é um rebaixamento do contexto de segurança: conteúdo que deveria permanecer sob restrições de zona, marcação de origem ou sandbox passa a alcançar rotinas do sistema operacional capazes de abrir recursos fora do limite esperado.
A técnica não deve ser lida como restrita apenas a atalhos LNK. O código vulnerável fica no caminho de componentes que incorporam MSHTML; portanto, outros mecanismos de entrega podem acionar o mesmo comportamento se conseguirem conduzir o processamento até a navegação vulnerável. O contexto público confirma a exploração zero day e a existência de um artefato submetido ao VirusTotal em 30 de janeiro de 2026, antes da correção. Também há relação operacional com alertas anteriores envolvendo ataques do APT28 contra outra falha, CVE-2026-21509, em Microsoft Office, mas isso não transforma as duas vulnerabilidades em uma única cadeia técnica sem evidência adicional.
A superfície principal envolve sistemas Windows nos quais componentes baseados em MSHTML processam conteúdo HTML, atalhos ou fluxos de navegação que possam ser influenciados por entrada externa. O risco é maior quando usuários recebem arquivos por e-mail, mensageria corporativa, links externos ou compartilhamentos não confiáveis e têm permissão para abrir LNK ou HTML localmente. Ambientes que ainda dependem de componentes legados de Internet Explorer, controles incorporados ou aplicações internas que renderizam conteúdo com MSHTML merecem revisão porque o caminho vulnerável pode ser alcançado por mais de um tipo de contêiner.
A exposição operacional não depende de exploração remota sem interação no cenário descrito. A pré-condição relevante é a abertura do artefato pela vítima ou por um fluxo que processe o arquivo em seu contexto. Isso torna controles de e-mail, marcação de arquivos baixados, bloqueio de anexos, políticas de execução e telemetria de abertura de atalhos elementos centrais de defesa. O impacto confirmado é bypass de recursos de segurança e possível execução de código; o contexto não sustenta afirmar exfiltração, movimentação lateral ou comprometimento de dados como consequências observadas.
- Estáções Windows que processam HTML ou LNK vindos de e-mail, links externos ou compartilhamentos não confiáveis.
- Aplicações e fluxos corporativos que incorporam MSHTML para renderizar conteúdo ou abrir hiperlinks.
- Usuários com capacidade de abrir atalhos LNK ou arquivos HTML fora de áreas controladas.
- Ambientes sem a atualização de segurança de fevereiro de 2026 aplicada.
A caça deve começar por eventos de endpoint que conectem abertura de LNK ou HTML a processos responsáveis por Shell, navegador ou renderização de conteúdo, especialmente quando a ação subsequente envolve abertura de recurso local ou remoto fora do fluxo normal do usuário. O uso de ShellExecuteExW não aparece diretamente em muitos logs convencionais, então a investigação precisa inferir o caminho por encadeamento de processos, argumentos de criação, origem do arquivo, marcação de zona, caminho em disco, hash interno e conexões de rede logo após a abertura do artefato.
A presença do domínio wellnesscaremed[.]com deve ser tratada como indicador defangado para busca defensiva, não como link ativo. A telemetria útil inclui consultas DNS, conexões HTTP ou HTTPS, abertura de arquivos LNK com conteúdo anômalo, anexos recebidos pouco antes da execução e arquivos HTML embutidos ou concatenados em estruturas que não deveriam carregar HTML. Como o artefato foi submetido ao VirusTotal em 30 de janeiro de 2026, janelas de investigação devem cobrir atividade anterior à correção de fevereiro e qualquer repetição posterior em hosts sem atualização.
- Criação de processos iniciada por abertura de LNK ou HTML seguida de chamada indireta ao Shell para abrir recurso remoto.
- Conexões de rede para wellnesscaremed[.]com ou variações relacionadas, sempre analisadas em formato defangado.
- Arquivos LNK com tamanho, estrutura ou conteúdo incompatível com atalhos corporativos legítimos.
- Eventos de e-mail com anexos LNK ou HTML recebidos antes de execução no endpoint.
- Alertas de bypass de Mark-of-the-Web ou arquivos externos sem marcação coerente de zona.
A primeira medida é aplicar a atualização de segurança liberada no Patch Tuesday de fevereiro de 2026 em todos os sistemas Windows afetados pelo ciclo de suporte da organização. Em paralelo, equipes de segurança devem revisar controles de recebimento e abertura de LNK e HTML, porque a técnica observada depende de interação do usuário com artefato malicioso. Bloqueios ou quarentena para anexos LNK, inspeção de HTML recebido externamente e políticas que preservem Mark-of-the-Web reduzem a chance de o fluxo vulnerável ser acionado por engenharia social.
A resposta defensiva deve combinar correção, contenção e validação. Hosts que abriram LNK ou HTML suspeitos antes da atualização precisam de análise de processo, rede e persistência, sem assumir automaticamente vazamento de dados ou movimentação lateral. Caso haja resolução ou conexão para a infraestrutura defangada citada, a estáção deve ser isolada para aquisição de artefatos e revisão de credenciais expostas no contexto do usuário. Após a correção, valide se aplicações internas que incorporam MSHTML continuam funcionando sem depender de exceções inseguras e se controles de e-mail impedem a entrega de atalhos incomuns.
- Aplicar a correção de fevereiro de 2026 e confirmar cobertura em estáções, imagens base e hosts fora da rede corporativa.
- Bloquear ou isolar anexos LNK recebidos externamente e revisar permissões de abertura de HTML local por usuários finais.
- Preservar e auditar Mark-of-the-Web em arquivos baixados, anexos e conteúdo sincronizado por ferramentas colaborativas.
- Investigar hosts com execução de LNK ou HTML seguida de comunicação externa incomum.
- Revisar aplicações que incorporam MSHTML e reduzir caminhos que abrem recursos externos por hiperlinks não confiáveis.
0 Comentários