-
09/04/2020
-
128
-
1.644 bài viết
APT28 bị nghi đứng sau chiến dịch khai thác zero-day MSHTML trước Patch Tuesday
Vừa được Microsoft vá trong Patch Tuesday tháng 2/2026, lỗ hổng CVE-2026-21513 trong MSHTML Framework nhanh chóng trở thành tâm điểm chú ý khi xuất hiện dấu hiệu cho thấy nó đã bị khai thác zero-day trước đó. Các phân tích ban đầu đặt nghi vấn chiến dịch này có thể liên quan đến APT28, làm dấy lên lo ngại về một chuỗi tấn công âm thầm diễn ra ngay trước thời điểm bản vá được phát hành.
Theo khuyến cáo từ Microsoft, đây là lỗi bypass cơ chế bảo vệ với điểm CVSS 8.8, cho phép kẻ tấn công vượt qua tính năng bảo mật qua mạng. Hãng xác nhận lỗ hổng đã bị khai thác trong thực tế. Quá trình phát hiện có sự phối hợp của Microsoft Threat Intelligence Center, Microsoft Security Response Center, Office Product Group Security Team và Google Threat Intelligence Group. Tuy nhiên, chi tiết về chiến dịch không được công bố.
Phân tích độc lập từ Akamai cho thấy một mẫu mã độc được tải lên VirusTotal ngày 30/1/2026 có liên hệ với hạ tầng từng được gán cho APT28. Nhóm này từ lâu bị phương Tây cáo buộc có liên quan đến tình báo quân đội Nga và thường xuyên triển khai các chiến dịch khai thác zero-day nhằm vào mục tiêu chiến lược.
Về mặt kỹ thuật,CVE-2026-21513 bắt nguồn từ logic xử lý điều hướng hyperlink trong thư viện ieframe.dll của MSHTML. Cụ thể, cơ chế xác thực URL không đầy đủ cho phép dữ liệu do kẻ tấn công kiểm soát đi vào nhánh code gọi hàm ShellExecuteExW. Do đó, tài nguyên cục bộ hoặc từ xa có thể được thực thi ngoài ngữ cảnh bảo mật dự kiến của trình duyệt, làm suy yếu mô hình cách ly vốn được thiết kế để hạn chế rủi ro từ nội dung web.
Chuỗi khai thác được ghi nhận sử dụng một file Windows Shortcut (LNK) được chế tạo đặc biệt. Ngay sau cấu trúc chuẩn của LNK, kẻ tấn công nhúng thêm một file HTML độc hại. Khi người dùng mở file, thường qua email lừa đảo hoặc liên kết giả mạo, nội dung HTML sẽ thao túng cách Windows Shell và MSHTML xử lý liên kết. Đồng thời, kỹ thuật này tận dụng nhiều iframe lồng nhau cùng các DOM context khác nhau nhằm làm mờ ranh giới tin cậy giữa nội dung Internet và tài nguyên cục bộ.
Theo khuyến cáo từ Microsoft, đây là lỗi bypass cơ chế bảo vệ với điểm CVSS 8.8, cho phép kẻ tấn công vượt qua tính năng bảo mật qua mạng. Hãng xác nhận lỗ hổng đã bị khai thác trong thực tế. Quá trình phát hiện có sự phối hợp của Microsoft Threat Intelligence Center, Microsoft Security Response Center, Office Product Group Security Team và Google Threat Intelligence Group. Tuy nhiên, chi tiết về chiến dịch không được công bố.
Phân tích độc lập từ Akamai cho thấy một mẫu mã độc được tải lên VirusTotal ngày 30/1/2026 có liên hệ với hạ tầng từng được gán cho APT28. Nhóm này từ lâu bị phương Tây cáo buộc có liên quan đến tình báo quân đội Nga và thường xuyên triển khai các chiến dịch khai thác zero-day nhằm vào mục tiêu chiến lược.
Về mặt kỹ thuật,CVE-2026-21513 bắt nguồn từ logic xử lý điều hướng hyperlink trong thư viện ieframe.dll của MSHTML. Cụ thể, cơ chế xác thực URL không đầy đủ cho phép dữ liệu do kẻ tấn công kiểm soát đi vào nhánh code gọi hàm ShellExecuteExW. Do đó, tài nguyên cục bộ hoặc từ xa có thể được thực thi ngoài ngữ cảnh bảo mật dự kiến của trình duyệt, làm suy yếu mô hình cách ly vốn được thiết kế để hạn chế rủi ro từ nội dung web.
Chuỗi khai thác được ghi nhận sử dụng một file Windows Shortcut (LNK) được chế tạo đặc biệt. Ngay sau cấu trúc chuẩn của LNK, kẻ tấn công nhúng thêm một file HTML độc hại. Khi người dùng mở file, thường qua email lừa đảo hoặc liên kết giả mạo, nội dung HTML sẽ thao túng cách Windows Shell và MSHTML xử lý liên kết. Đồng thời, kỹ thuật này tận dụng nhiều iframe lồng nhau cùng các DOM context khác nhau nhằm làm mờ ranh giới tin cậy giữa nội dung Internet và tài nguyên cục bộ.
Đáng chú ý, cơ chế trên cho phép bypass Mark-of-the-Web (MotW) và Internet Explorer Enhanced Security Configuration (IE ESC). Khi MotW bị vô hiệu hóa, hệ điều hành không còn áp dụng mức cảnh báo phù hợp đối với nội dung tải từ Internet. Vì vậy, ngữ cảnh bảo mật bị hạ cấp và lời gọi ShellExecuteExW có thể dẫn tới thực thi mã độc bên ngoài sandbox trình duyệt, qua đó mở rộng đáng kể bề mặt tấn công.
Mẫu LNK quan sát được thiết lập kết nối đến domain wellnesscaremed[.]com, hạ tầng từng xuất hiện trong các chiến dịch đa tầng trước đây của APT28. Trước đó, CERT-UA cũng đã cảnh báo về hoạt động của nhóm này liên quan đến lỗ hổng CVE-2026-21509 trong Microsoft Office. Điều này cho thấy khả năng tồn tại một chuỗi khai thác có tính toán thay vì sự kiện đơn lẻ.
Theo Akamai, dù chiến dịch hiện tại sử dụng LNK làm vector chính, đường dẫn dễ tổn thương thực chất nằm ở MSHTML. Nói cách khác, bất kỳ thành phần nào nhúng hoặc gọi MSHTML, không chỉ file shortcut, đều có thể trở thành điểm kích hoạt tiềm năng. Vì thế, bề mặt tấn công rộng hơn nhiều so với những gì quan sát được trong mẫu ban đầu.
Diễn biến lần này cho thấy các thành phần di sản như MSHTML, dù không còn giữ vai trò trung tâm trong hệ sinh thái web hiện đại, vẫn tồn tại sâu trong kiến trúc Windows và có thể trở thành mắt xích yếu khi kết hợp với kỹ thuật social engineering. Một khi các cơ chế bảo vệ dựa trên ngữ cảnh tin cậy như MotW bị vượt qua, mô hình phòng thủ theo lớp sẽ suy giảm đáng kể hiệu quả.
Việc lỗ hổng bị khai thác zero-day trước thời điểm phát hành bản vá đặt ra yêu cầu các tổ chức phải khẩn trương triển khai cập nhật tháng 2/2026. Đồng thời, cần rà soát telemetry liên quan đến thực thi bất thường thông qua ShellExecuteExW, hành vi mở file LNK đáng ngờ và lưu lượng kết nối tới các domain chưa được phân loại. Thực tế này cho thấy việc giám sát hành vi ở tầng hệ điều hành ngày càng trở nên cấp thiết, thay vì chỉ dựa vào cơ chế phát hiện dựa trên chữ ký tĩnh.Mẫu LNK quan sát được thiết lập kết nối đến domain wellnesscaremed[.]com, hạ tầng từng xuất hiện trong các chiến dịch đa tầng trước đây của APT28. Trước đó, CERT-UA cũng đã cảnh báo về hoạt động của nhóm này liên quan đến lỗ hổng CVE-2026-21509 trong Microsoft Office. Điều này cho thấy khả năng tồn tại một chuỗi khai thác có tính toán thay vì sự kiện đơn lẻ.
Theo Akamai, dù chiến dịch hiện tại sử dụng LNK làm vector chính, đường dẫn dễ tổn thương thực chất nằm ở MSHTML. Nói cách khác, bất kỳ thành phần nào nhúng hoặc gọi MSHTML, không chỉ file shortcut, đều có thể trở thành điểm kích hoạt tiềm năng. Vì thế, bề mặt tấn công rộng hơn nhiều so với những gì quan sát được trong mẫu ban đầu.
Diễn biến lần này cho thấy các thành phần di sản như MSHTML, dù không còn giữ vai trò trung tâm trong hệ sinh thái web hiện đại, vẫn tồn tại sâu trong kiến trúc Windows và có thể trở thành mắt xích yếu khi kết hợp với kỹ thuật social engineering. Một khi các cơ chế bảo vệ dựa trên ngữ cảnh tin cậy như MotW bị vượt qua, mô hình phòng thủ theo lớp sẽ suy giảm đáng kể hiệu quả.
Theo The Hacker News