En su Patch Tuesday de febrero de 2026, Microsoft corrigió un fallo de bypass de mecanismo de protección en el framework MSHTML de Windows, registrado como CVE-2026-21513. Un atacante no autenticado puede saltarse una función de seguridad a través de la red, y el problema ya se estaba explotando activamente como zero-day antes de que llegara el parche.
Qué es MSHTML y por qué importa
MSHTML, también conocido como Trident, es el motor de renderizado HTML heredado de Windows. Internet Explorer se retiró hace tiempo, pero MSHTML sigue ahí, en el sistema, y otros componentes lo llaman para mostrar contenido HTML. Esa permanencia lo convierte en un objetivo que vuelve una y otra vez: un fallo en MSHTML se dispara sin necesidad de un navegador moderno, basta con abrir un archivo manipulado.
En qué consiste la vulnerabilidad
CVE-2026-21513 es un fallo de protección (CWE-693): el componente no aplica bien una comprobación de seguridad que debería frenar que ciertos enlaces lleguen a rutas de código sensibles. El análisis técnico publicado apunta a la lógica de ieframe.dll que gestiona la navegación por hipervínculos, que validaba la URL de destino de forma insuficiente. Así, una entrada en manos del atacante terminaba alcanzando llamadas a ShellExecuteExW y se podían ejecutar recursos locales o remotos fuera del contexto de seguridad que el navegador tenía previsto.
Para explotarlo hace falta interacción del usuario: la víctima tiene que abrir un archivo HTML trucado o un acceso directo malicioso (.lnk). En las muestras que se analizaron, un acceso directo de Windows llevaba dentro un archivo HTML, y el exploit encadenaba iframes anidados y varios contextos DOM para jugar con las fronteras de confianza y soltar payloads en varias etapas.
A quién afecta y gravedad
El fallo toca a múltiples versiones de Windows: Windows 10 (1607, 1809, 21H2, 22H2), Windows 11 (22H3, 23H2, 24H2, 25H2 y posteriores) y Windows Server (2012 R2, 2016, 2019). Su puntuación CVSS 3.1 es 8.8 (alta), con vector AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H: explotable por red, sin privilegios previos, pero con interacción del usuario, y con impacto total en confidencialidad, integridad y disponibilidad.
Explotación real: APT28
Microsoft confirmó que la vulnerabilidad se había explotado como zero-day en ataques reales. Varios investigadores vincularon la campaña al grupo APT28 (asociado a Rusia). El 30 de enero de 2026 apareció en VirusTotal un artefacto malicioso conectado a la infraestructura del grupo, con un acceso directo .lnk que arrancaba la comunicación con un dominio controlado por el atacante. CISA metió el CVE en su catálogo KEV (Known Exploited Vulnerabilities) con plazo de mitigación hasta el 3 de marzo de 2026.
Mitigación
Lo principal es aplicar las actualizaciones de febrero de 2026 de Microsoft, que endurecen la validación del protocolo de los hipervínculos para que enlaces file://, http:// y https:// no lleguen a ShellExecuteExW. Más allá del parche, conviene desconfiar de los archivos .lnk y .html que llegan por correo o mensajería, dejar activadas las protecciones de Mark-of-the-Web y SmartScreen, y dar prioridad a los equipos expuestos, porque el exploit está en uso.
Si gestionas equipos Windows, échale un ojo también a la ficha del sistema afectado en /windows-desktop.
Fuente
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-21513
- Microsoft Security Response Center (MSRC), Akamai Security Research y CISA KEV.