概要

Microsoftは、59件の脆弱性を含むパッチ・テュースデー更新プログラムをリリースしました。その中には、MSHTMLフレームワークで発見された重大なゼロデイ脆弱性（CVE-2026-21513）も含まれています。

APT28の悪用

Akamaiのセキュリティ研究者は、この脆弱性が公式パッチが公開される前に、ロシア政府後援の脅威グループであるAPT28によって悪用されていたことを発見しました。

脆弱性の詳細

CVE ID: CVE-2026-21513
CVSSスコア: 8.8（高）
脆弱性タイプ: セキュリティ機能バイパス
影響を受けるコンポーネント: MSHTMLフレームワーク (ieframe.dll)
脅威アクター: APT28（ロシア政府後援）
悪用状況: 既に実世界で悪用されている

脆弱性の原因と影響

この脆弱性は、ieframe.dllコンポーネント内のURLターゲットへの適切な検証が欠けていたことにより発生しました。これにより攻撃者は、特定のコードパスに悪意のある入力を送信し、ShellExecuteExW関数をトリガーすることができます。

Akt28による実際の攻撃

研究者らは、APT28がこの脆弱性を利用した最初の証拠を2026年1月末に確認しました。脅威アクターは特別に作成されたWindowsショートカットファイル（.lnk）を使用し、その中に悪意のあるHTMLペイロードを含めました。

攻撃の詳細

• ペイロード: 悪意のあるWindowsショートカットファイル（.lnk）
• マルウェア配布: 攻撃者が制御するドメイン（wellnesscaremed[.]com）からマルチステージのマルウェアを取得
• セキュリティバイパス: ネストされたiframeと複数のDOMコンテキストを使用して、Mark of the Web (MotW)やInternet Explorer Enhanced Security Configuration (IE ESC)などの主要なWindowsセキュリティ機能をバイパス
• 脆弱性の悪用: セキュリティ状況を降格させることで、危険なShellExecuteExWコールを強制的に実行させる。

対策と修正

Microsoftは、2026年2月のセキュリティパッチ更新プログラムでこの脆弱性に対処しました。修正では、HTTP、HTTPS、FILEなどの標準プロトコルが安全なブラウザ環境内で厳格に制限され、ShellExecuteExW関数への直接的なパスを許可しないようにしています。

まとめ

CVE-2026-21513は、MSHTMLフレームワークの脆弱性を利用してAPT28が攻撃を行った重要な事例です。この脆弱性は公式パッチが公開される前に悪用されており、セキュリティ上の深刻な問題を示しています。

---

元記事: https://gbhackers.com/mshtml-zero-day-in-windows-exploited-by-apt28/