Un informe reciente de Akamai ha arrojado luz sobre la vinculación del grupo de hackers APT28 con la explotación activa de una vulnerabilidad crítica, identificada como CVE-2026-21513. Este fallo, clasificado como un '0-day' de MSHTML, fue posteriormente corregido por Microsoft en su actualización de seguridad de febrero de 2026 (Patch Tuesday). La gravedad de esta vulnerabilidad reside en su capacidad para eludir importantes medidas de seguridad, como Mark-of-the-Web (MotW) y la Configuración de Seguridad Mejorada de Internet Explorer (IE ESC), a través de la manipulación de archivos HTML y accesos directos LNK. Esto allana el camino para complejas cadenas de ataque que pueden culminar en la ejecución de código malicioso en los sistemas de las víctimas.
La investigación apunta a APT28, un grupo con supuestos lazos con Rusia, como el responsable de una campaña que explotó esta falla de alta gravedad en Windows. MSHTML, el motor de renderizado web utilizado por varios componentes del sistema, fue el núcleo de este problema. Microsoft reconoció que la vulnerabilidad estaba siendo explotada como 'zero-day' antes de que se liberara una solución, lo que subraya la amenaza para los sistemas no actualizados. El fallo pertenece a la categoría de 'security feature bypass', ya que permite disminuir el contexto de seguridad y anular barreras protectoras diseñadas para resguardar a los usuarios frente a contenido de Internet. El análisis detalla una validación insufici ente en la lógica de navegación de hipervínculos dentro de ieframe.dll, un componente clave del marco de MSHTML/Internet Explorer, lo que permite tratar destinos como más fiables de lo que realmente son.
El método de ataque observado se basa en técnicas de phishing y distribución de archivos maliciosos. Las víctimas pueden recibir archivos HTML o, de manera particularmente insidiosa, accesos directos LNK a través de correo electrónico o enlaces de descarga. Estos archivos LNK pueden contener contenido adicional, incluyendo HTML incrustado, que manipula la interpretación del origen y el nivel de confianza del contenido, intentando engañar al sistema para que lo trate como si no proviniera de Internet. El impacto práctico incluye la evasión de Mark-of-the-Web, que restringe archivos de fuentes no confiables, y de la Configuración de Seguridad Mejorada de IE. Una vez debilitadas estas defensas, los atacantes pueden emplear APIs del sistema como ShellExecuteExW para ejecutar acciones adicionales, facilitando así la ejecución de código malicioso. La atribución a APT28 se basa en artefactos e infraestructura observados, incluyendo una muestra en VirusTotal a finales de enero de 2026 y comunicaciones con un dominio vinculado a este actor. Es importante destacar que cualquier componente que incruste MSHTML podría ser vulnerable, no limitándose solo al uso de LNK. Para la defensa, es crucial desplegar los parches de seguridad de febrero de 2026, revisar las pasarelas de correo y navegación para detectar adjuntos sospechosos, y monitorizar comportamientos anómalos relacionados con MSHTML y ShellExecuteExW, asegurando la correcta aplicación de Mark-of-the-Web.
Artículos relacionados de LaRebelión:
- Eventos Tech Stockholm Madrid Lisboa Febrero
- Windows 11 El parche causa apagado erratico
- APT28 Russian Hackers Target Energy Policy Data
- ShadowPad Explota WSUS Acceso Total al Sistema
- Garmin Lidera Smartwatch Satelital Antes que Apple
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario