文章总结: 俄罗斯APT28组织利用MSHTML零日漏洞CVE-2026-21513攻击乌克兰及东欧政府机构。该漏洞CVSS8.8影响全版本Windows,可绕过MotW和IEESC防御,通过钓鱼lnk文件触发,最终投放后门实现持久化控制。微软已发布补丁,建议立即更新、限制lnk执行及监控mshtml.dll异常,文中附带相关IoC指标。 综合评分: 88 文章分类: 漏洞预警,威胁情报,漏洞分析,应急响应
【安全圈】高危0day突袭!俄APT28借MSHTML漏洞突破防线,政企紧急戒备
安全圈 安全圈
安全圈
2026年3月8日 19:00 江苏
关键词
APT28、MSHTML零日漏洞、CVE-2026-21513,Fancy Bear,地缘政治网络战
2026年3月,全球网络安全界拉响红色警报。俄罗斯顶级APT组织APT28(又名Fancy Bear,隶属于俄联邦军事情报总局GRU)近期再度活跃,利用一个高危MSHTML零日漏洞,对乌克兰及东欧地区的政府、军事,外交核心机构发起大规模定向攻击。
这个漏洞有多恐怖?
- CVSS评分高达8.8(高危)
- 影响所有Windows版本
- 攻击者只需诱导用户点击一次,就能完全控制目标系统
- 甚至能绑过Windows两大核心防护机制:MotW + IE ESC
CVE-2026-21513 核心参数
| | | | — | — | | 漏洞编号 | CVE-2026-21513 | | 漏洞类型 | 安全功能绕过(CWE-693) | | CVSS评分 | 8.8(高危) | | 影响范围 | Windows 10/11/Server 2016-2022 | | 攻击前提 | 仅需用户点击一次 |
攻击原理
MSHTML是微软的HTML渲染引擎,虽然IE已经退役,但Office文档、WebBrowser控件、第三方应用仍在广泛使用。
漏洞的本质是:攻击者通过构造特殊的HTML代码,可以篡改DOM上下文来源标识,让系统把「来自互联网的恶意内容」误认为「本地可信内容」。
APT28攻击流水线
-
钓鱼投递
:发送伪装的钓鱼邮件,附件是.lnk快捷方式文件,图标做成Word/Excel样子
-
触发漏洞
:用户点击lnk文件 → 调用浏览器 → 打开内嵌HTML → 触发漏洞
-
绑过防御
:利用多层iframe嵌套,同时绑过MotW和IE ESC
-
代码执行
:调用ShellExecuteExW函数,跳出浏览器沙箱执行任意代码
-
投放后门
:MiniDoor 邮件窃取器、Covenant 后门程序
-
持久化
:修改注册表、创建计划任务——就算电脑重启,攻击者依然能远程控制
影响评估
| | | | — | — | | 漏洞首次发现 | 2026年1月30日 | | 微软发布补丁 | 2026年2月10日 | | 零日窗口期 | 约11天 | | 主要目标 | 乌克兰及东欧政府/军事机构 | | 关联C2域名 | wellnesscaremed[.]com等 |
防御建议
-
立即打补丁
:微软官方链接 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21513
-
临时缓解
:禁止lnk文件自动执行 + 禁用Office中WebBrowser控件 + 强化邮件网关过滤
-
终端监控
:重点监控mshtml.dll异常 + 监控ShellExecuteExW调用 + 关注不明计划任务
IoC 指标
样本特征:
- 文件名:document.doc.LnK.download、会议纪要.lnk
- 哈希:SHA256: 7a9f3d8e7c2b1a0d…
网络特征:
- C2域名:wellnesscaremed[.]com、healthcarewell[.]com
- 流量特征:?id=apt28&type=exec
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈 安全圈 安全圈《【安全圈】高危0day突袭!俄APT28借MSHTML漏洞突破防线,政企紧急戒备》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论