Al seu Patch Tuesday de febrer de 2026, Microsoft va corregir un defecte de bypass de mecanisme de protecció al framework MSHTML de Windows, registrat com a CVE-2026-21513. Un atacant no autenticat pot eludir una funció de seguretat a través de la xarxa, i el problema ja s’estava explotant activament com a zero-day abans que arribés el pegat.
Què és MSHTML i per què importa
MSHTML, també conegut com a Trident, és el motor de renderitzat HTML heretat de Windows. Internet Explorer es va retirar fa temps, però MSHTML continua al sistema, i altres components el criden per mostrar contingut HTML. Aquesta permanència el converteix en un objectiu que torna una vegada i una altra: un defecte a MSHTML es dispara sense necessitat d’un navegador modern, n’hi ha prou amb obrir un fitxer manipulat.
En què consisteix la vulnerabilitat
CVE-2026-21513 és un defecte de protecció (CWE-693): el component no aplica bé una comprovació de seguretat que hauria de frenar que certs enllaços arribin a rutes de codi sensibles. L’anàlisi tècnica publicada assenyala la lògica de ieframe.dll que gestiona la navegació per hiperenllaços, que validava l’URL de destinació de manera insuficient. Així, una entrada en mans de l’atacant acabava arribant a crides a ShellExecuteExW i es podien executar recursos locals o remots fora del context de seguretat que el navegador tenia previst.
Per explotar-lo cal interacció de l’usuari: la víctima ha d’obrir un fitxer HTML trucat o un accés directe maliciós (.lnk). En les mostres que es van analitzar, un accés directe de Windows portava a dins un fitxer HTML, i l’exploit encadenava iframes imbricats i diversos contextos DOM per jugar amb les fronteres de confiança i deixar anar payloads en diverses etapes.
A qui afecta i gravetat
El defecte toca múltiples versions de Windows: Windows 10 (1607, 1809, 21H2, 22H2), Windows 11 (22H3, 23H2, 24H2, 25H2 i posteriors) i Windows Server (2012 R2, 2016, 2019). La seva puntuació CVSS 3.1 és 8.8 (alta), amb vector AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H: explotable per xarxa, sense privilegis previs, però amb interacció de l’usuari, i amb impacte total en confidencialitat, integritat i disponibilitat.
Explotació real: APT28
Microsoft va confirmar que la vulnerabilitat s’havia explotat com a zero-day en atacs reals. Diversos investigadors van vincular la campanya al grup APT28 (associat a Rússia). El 30 de gener de 2026 va aparèixer a VirusTotal un artefacte maliciós connectat a la infraestructura del grup, amb un accés directe .lnk que arrencava la comunicació amb un domini controlat per l’atacant. CISA va incloure el CVE al seu catàleg KEV (Known Exploited Vulnerabilities) amb termini de mitigació fins al 3 de març de 2026.
Mitigació
El més important és aplicar les actualitzacions de febrer de 2026 de Microsoft, que endureixen la validació del protocol dels hiperenllaços perquè els enllaços file://, http:// i https:// no arribin a ShellExecuteExW. Més enllà del pegat, val la pena desconfiar dels fitxers .lnk i .html que arriben per correu o missatgeria, deixar activades les proteccions de Mark-of-the-Web i SmartScreen, i donar prioritat als equips exposats, perquè l’exploit ja s’està fent servir.
Si gestiones equips Windows, fes una ullada també a la fitxa del sistema afectat a /ca/windows-desktop.
Font
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-21513
- Microsoft Security Response Center (MSRC), Akamai Security Research i CISA KEV.