APT28 missbraucht MSHTML Zero-Day vor Februar-Patch : CVE-2026-21513 ermöglichte Umgehung zentraler Windows-Schutzmechanismen

Microsoft hat zum Patchday im Februar 2026 neben 58 anderen auch die Schwachstelle CVE-2026-21513 geschlossen. Mit einem CVSS-Wert von 8.8 gilt sie als hochkritisch. Nach Angaben des Herstellers versagt im MSHTML-Framework ein Schutzmechanismus. „Dadurch kann ein nicht autorisierter Angreifer über ein Netzwerk eine eigentlich vorgesehene Sicherheitsfunktion umgehen“. Brisant ist vor allem: Die Lücke wurde bereits als Zero-Day in freier Wildbahn ausgenutzt.

Die Entdeckung wird mehreren internen Teams von Microsoft sowie der Google Threat Intelligence Group zugeschrieben. Konkrete technische Details zur Angriffskampagne veröffentlichte Microsoft jedoch nicht.

Technischer Kern: Fehlerhafte URL-Validierung in ieframe.dll

Nach Untersuchungen von Akamai steckt der Fehler in der Datei „ieframe.dll“. Diese Bibliothek ist dafür zuständig, dass Hyperlinks korrekt verarbeitet und an das richtige Ziel weitergeleitet werden. Genau an dieser Stelle setzt der Angreifer an.

Das Problem besteht darin, dass die Zieladresse eines Links nicht streng genug geprüft wird. Manipulierte Eingaben können deshalb so in den Verarbeitungsablauf eingeschleust werden, dass am Ende die Windows-Funktion ShellExecuteExW aufgerufen wird. Diese Funktion ist eigentlich dafür gedacht, Dateien oder Programme zu starten.

Im konkreten Fall bedeutet das: Statt den Inhalt sicher im Browser auszuführen, kann Windows angewiesen werden, lokale oder entfernte Dateien direkt zu öffnen oder zu starten. Dadurch verlässt der Prozess den geschützten Browser-Kontext. Das Sicherheitsniveau wird faktisch herabgesetzt – und im schlimmsten Fall kann Schadcode außerhalb der Browser-Sandbox ausgeführt werden.

Ein realistisches Angriffsszenario sieht wie folgt aus:

• Versand einer manipulierten HTML- oder LNK-Datei per Link oder E-Mail-Anhang
• Öffnen der Datei durch das Opfer, wodurch Browser- und Windows-Shell-Mechanismen manipuliert werden
• Ausführung von Inhalten durch das Betriebssystem, was die Umgehung von Sicherheitsfunktionen ermöglicht

Raffinierte LNK-Konstruktion mit eingebettetem HTML-Code

Auffällig ist vor allem die eingesetzte Angriffsmethode. Sicherheitsanalyst Maor Dahan erklärt sie so: „Diese Nutzlast umfasst eine speziell präparierte Windows-Verknüpfung, die unmittelbar nach der normalen LNK-Struktur eine HTML-Datei einbettet.“

Konkret bedeutet das: Die Angreifer verstecken zusätzlichen HTML-Code direkt in einer Windows-Verknüpfungsdatei. Für den Benutzer sieht die Datei wie eine gewöhnliche Verknüpfung aus. Tatsächlich enthält sie jedoch eingebetteten Webinhalt, der beim Öffnen ausgeführt werden kann.

Sobald die Datei gestartet wird, nimmt sie Kontakt zur Domain wellnesscaremed[.]com auf. Diese Infrastruktur wird der Gruppe APT28 zugeschrieben und kam bereits in früheren Kampagnen zum Einsatz. Dort diente sie als Teil mehrstufiger Angriffsketten, bei denen zunächst ein erster Schadcode geladen und anschließend weitere Komponenten nachgeladen werden.

Technisch nutzt der Exploit verschachtelte Iframes und mehrere Document-Object-Model-Kontexte, um Vertrauensgrenzen zu manipulieren. Ziel ist es, Schutzmechanismen wie Mark-of-the-Web sowie die erweiterte Sicherheitskonfiguration des Internet Explorers zu umgehen.

Akamai weist ausdrücklich darauf hin: „Auch wenn in der beobachteten Kampagne manipulierte LNK-Dateien eingesetzt wurden, kann der anfällige Code grundsätzlich durch jede Anwendung ausgelöst werden, die MSHTML einbindet.“

Das bedeutet: Die Schwachstelle ist nicht auf ein bestimmtes Angriffsmuster beschränkt. Zwar wurden bislang vor allem präparierte Verknüpfungsdateien genutzt, technisch lässt sich derselbe Fehler jedoch überall dort auslösen, wo MSHTML zur Darstellung oder Verarbeitung von Inhalten verwendet wird.

Dadurch vergrößert sich die potenzielle Angriffsfläche deutlich. Es geht nicht nur um klassische Phishing-E-Mails mit Dateianhang. Auch andere Programme oder Komponenten, die intern auf MSHTML zurückgreifen, könnten als Einfallstor dienen.

Verbindung zu APT28 und CERT-UA-Hinweisen

Ein verdächtiges Artefakt wurde am 30. Januar 2026 auf VirusTotal hochgeladen und steht laut Akamai mit einer Infrastruktur in Verbindung, die mit hoher Wahrscheinlichkeit zu APT28 gehört. Bereits zuvor hatte das ukrainische Computer Emergency Response Team of Ukraine auf Angriffe dieser Gruppe hingewiesen, bei denen eine andere Microsoft-Office-Schwachstelle mit der Kennung CVE-2026-21509 und einem CVSS-Wert von 7.8 ausgenutzt wurde.

Die zeitliche Nähe und infrastrukturelle Überschneidungen legen nahe, dass CVE-2026-21513 Teil einer koordinierten Kampagne gewesen sein könnte.

Strategische Implikationen für Unternehmen

Im Lichte des Vorfalls werden mehrere sicherheitstechnische Kernprobleme moderner Windows-Umgebungen deutlich:

• Eingebettete Browser-Engines wie MSHTML erweitern die Angriffsfläche erheblich
• Unzureichende Kontexttrennung zwischen Browser und Betriebssystem birgt systemische Risiken
• Zero-Day-Ausnutzung bleibt ein zentrales Instrument staatlich unterstützter Akteure

Für Unternehmen bedeutet das: Neben einem schnellen Patch-Management sind Härtungsmaßnahmen gegen die Ausführung von LNK-Dateien, eine restriktive Handhabung von ShellExecute-Aufrufen sowie eine konsequente Überwachung verdächtiger Netzwerkverbindungen entscheidend.

Angreifer setzen gezielt an den Übergängen zwischen Browser, Betriebssystem und Benutzerinteraktion an – dort, wo Vertrauen technisch modelliert, aber praktisch angreifbar bleibt.