Kerentanan keamanan yang baru-baru ini ditambal oleh Microsoft dilaporkan telah dieksploitasi sebagai zero-day dan diduga berkaitan dengan aktivitas kelompok ancaman siber yang berafiliasi dengan Rusia, APT28. Temuan ini diungkap oleh perusahaan keamanan dan infrastruktur web Akamai Technologies, yang menganalisis artefak berbahaya terkait eksploitasi tersebut.
Kerentanan yang dimaksud adalah CVE-2026-21513 dengan skor CVSS 8.8, dikategorikan sebagai celah tingkat tinggi yang memungkinkan bypass terhadap fitur keamanan pada MSHTML Framework. MSHTML merupakan mesin rendering yang digunakan oleh komponen Windows dan Internet Explorer untuk memproses konten HTML. Dalam advisori resminya, Microsoft menyebut celah ini sebagai kegagalan mekanisme perlindungan yang memungkinkan penyerang tidak sah melewati fitur keamanan melalui jaringan.
CVE-2026-21513 diperbaiki sebagai bagian dari pembaruan Patch Tuesday Februari 2026. Namun, perusahaan tersebut juga mengonfirmasi bahwa kerentanan ini telah dieksploitasi dalam serangan nyata sebelum patch tersedia, menjadikannya zero-day pada saat digunakan oleh pelaku ancaman. Microsoft mengkreditkan pelaporan kerentanan ini kepada Microsoft Threat Intelligence Center, Microsoft Security Response Center, Office Product Group Security Team, serta Google Threat Intelligence Group.
Dalam skenario serangan yang dijelaskan, penyerang dapat memanfaatkan kerentanan ini dengan membujuk korban untuk membuka file HTML berbahaya atau file shortcut Windows berformat LNK yang dikirim melalui tautan atau lampiran email. Ketika file yang telah dirancang tersebut dibuka, mekanisme penanganan browser dan Windows Shell dimanipulasi sedemikian rupa sehingga konten dieksekusi langsung oleh sistem operasi. Proses ini memungkinkan penyerang melewati kontrol keamanan tertentu dan berpotensi mencapai eksekusi kode pada sistem korban.
Meskipun Microsoft tidak merilis detail teknis lengkap mengenai eksploitasi zero-day tersebut, Akamai mengungkap bahwa mereka mengidentifikasi artefak berbahaya yang diunggah ke VirusTotal pada 30 Januari 2026. Artefak itu dikaitkan dengan infrastruktur yang berhubungan dengan APT28. Kelompok ini dikenal luas dalam komunitas intelijen ancaman sebagai aktor yang melakukan operasi spionase siber yang ditargetkan.
Sampel berbahaya tersebut sebelumnya telah ditandai oleh CERT-UA pada awal bulan lalu dalam konteks serangan APT28 yang mengeksploitasi kerentanan berbeda di Microsoft Office, yakni CVE-2026-21509 dengan skor CVSS 7.8. Korelasi ini memperkuat dugaan bahwa eksploitasi CVE-2026-21513 merupakan bagian dari rangkaian kampanye yang lebih luas.
Analisis teknis Akamai menunjukkan bahwa akar masalah CVE-2026-21513 terletak pada logika di dalam file “ieframe.dll” yang menangani navigasi hyperlink. Kerentanan muncul akibat kurangnya validasi terhadap URL target, sehingga input yang dikendalikan penyerang dapat mencapai jalur kode yang memanggil fungsi ShellExecuteExW. Fungsi ini bertanggung jawab untuk menjalankan sumber daya lokal atau jarak jauh melalui Windows Shell. Akibatnya, sumber daya dapat dieksekusi di luar konteks keamanan browser yang seharusnya membatasi tindakan tersebut.
Peneliti keamanan Maor Dahan menjelaskan bahwa muatan serangan melibatkan file Windows Shortcut (LNK) yang dirancang secara khusus. File tersebut menyematkan file HTML tepat setelah struktur standar LNK. Ketika dijalankan, file shortcut tersebut memulai komunikasi dengan domain wellnesscaremed[.]com, yang menurut atribusi Akamai terkait dengan APT28 dan digunakan secara luas dalam kampanye multi-tahap mereka. Teknik ini memanfaatkan nested iframe dan berbagai konteks DOM untuk memanipulasi batas kepercayaan antara komponen yang berbeda.
Eksploitasi tersebut memungkinkan penyerang melewati Mark-of-the-Web, mekanisme yang biasanya menandai file yang berasal dari internet untuk membatasi eksekusinya. Selain itu, teknik ini juga dapat menghindari Internet Explorer Enhanced Security Configuration, yang dirancang untuk memperketat kebijakan keamanan pada sistem tertentu. Dengan melewati kedua mekanisme ini, konteks keamanan dapat diturunkan sehingga kode berbahaya dieksekusi di luar sandbox browser melalui ShellExecuteExW.
Implikasinya signifikan. Dengan mengalihkan eksekusi ke luar konteks browser, penyerang berpotensi menjalankan kode dengan hak akses yang lebih luas dibandingkan jika tetap berada dalam sandbox. Bagi organisasi dan praktisi keamanan, ini menunjukkan bahwa batas antara komponen web dan sistem operasi dapat menjadi titik lemah ketika validasi input tidak diterapkan secara ketat pada level framework.
Akamai menekankan bahwa meskipun kampanye yang diamati menggunakan file LNK berbahaya sebagai vektor pengiriman, jalur kode rentan dapat dipicu melalui komponen apa pun yang menyematkan MSHTML. Artinya, mekanisme distribusi lain di luar phishing berbasis LNK sangat mungkin terjadi. Komponen aplikasi yang memanfaatkan MSHTML untuk merender konten HTML berpotensi menjadi permukaan serangan alternatif apabila tidak diperbarui.
Kasus CVE-2026-21513 memperlihatkan bagaimana kerentanan pada komponen fundamental Windows dapat dimanfaatkan untuk mengikis lapisan perlindungan yang dirancang untuk memisahkan konten tidak tepercaya dari sistem inti. Bagi komunitas keamanan siber, insiden ini menggarisbawahi pentingnya pembaruan rutin, validasi input yang ketat pada level framework, serta pemantauan aktivitas yang melibatkan file shortcut dan eksekusi Shell.
Bagi pengguna dan organisasi, penerapan patch Februari 2026 menjadi langkah mitigasi utama. Mengingat sifat zero-day dari eksploitasi ini, respons cepat terhadap pembaruan keamanan menjadi faktor krusial untuk mengurangi risiko. Dalam konteks ancaman yang melibatkan aktor negara seperti APT28, celah dengan tingkat keparahan tinggi seperti CVE-2026-21513 menunjukkan bahwa teknik bypass fitur keamanan tetap menjadi taktik efektif untuk mendapatkan pijakan awal dalam serangan yang lebih luas.