MSHTML Framework 0-Day ត្រូវបានវាយប្រហារដោយពួក Hacker APT28 មុនពេលការអាប់ដេត Patch Tuesday ខែកុម្ភៈ ឆ្នាំ 2026

ចំណុចខ្សោយ zero-day នៅក្នុងក្របខ័ណ្ឌ Microsoft HTML (MSHTML) ត្រូវបានគេកេងប្រវ័ញ្ចយ៉ាងសកម្មនៅក្នុងពិភពពិត។ ចំណុចខ្សោយនេះ ដែលត្រូវបានតាមដានថាជា CVE-2026-21513 អនុញ្ញាតឱ្យអ្នកវាយប្រហាររំលងមុខងារសុវត្ថិភាព និងប្រតិបត្តិឯកសារតាមអំពើចិត្ត។ ជាមួយនឹងពិន្ទុ CVSS 8.8 វាប៉ះពាល់ដល់កំណែ Windows ទាំងអស់។

អ្នកស្រាវជ្រាវសន្តិសុខនៅ Akamai បានរកឃើញថាក្រុមគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋរុស្ស៊ី APT28 កំពុងកំណត់គោលដៅ Microsoft មុនពេល Microsoft ចេញផ្សាយបំណះមួយនៅក្នុងខែកុម្ភៈ ឆ្នាំ 2026។

ក្រុមអ្នកស្រាវជ្រាវ Akamai បានប្រើប្រាស់ PatchDiff-AI ដែលជាប្រព័ន្ធ AI ពហុភ្នាក់ងារ ដើម្បីធ្វើការវិភាគមូលហេតុដើមដោយស្វ័យប្រវត្តិ។

ពួកគេបានរកឃើញថា ចំណុចខ្វះខាតនេះស្ថិតនៅក្នុង ieframe.dll ជាពិសេសនៅក្នុងមុខងារ _AttemptShellExecuteForHlinkNavigate ដែលគ្រប់គ្រងការរុករកតំណភ្ជាប់។

ភាពងាយរងគ្រោះនេះកើតចេញពីការផ្ទៀងផ្ទាត់ URL គោលដៅមិនគ្រប់គ្រាន់។ ការត្រួតពិនិត្យនេះអនុញ្ញាតឱ្យការបញ្ចូលដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារទៅដល់ផ្លូវកូដដែលហៅ ShellExecuteExW។

ជាលទ្ធផល ធនធានក្នុងស្រុក ឬពីចម្ងាយអាចត្រូវបានប្រតិបត្តិនៅខាងក្រៅបរិបទសុវត្ថិភាពកម្មវិធីរុករកដែលបានគ្រោងទុក។

អ្នកស្រាវជ្រាវបានភ្ជាប់ផ្លូវកូដងាយរងគ្រោះជាមួយនឹងព័ត៌មានស៊ើបការណ៍សម្ងាត់អំពីការគំរាមកំហែងសាធារណៈ ហើយបានកំណត់អត្តសញ្ញាណគំរូព្យាបាទមួយនៅលើ VirusTotal ដែលបានដាក់ស្នើនៅថ្ងៃទី 30 ខែមករា ឆ្នាំ 2026។

គំរូនេះ ដែលមានឈ្មោះថា document.doc.LnK.download ត្រូវបានភ្ជាប់ទៅនឹងហេដ្ឋារចនាសម្ព័ន្ធដែលភ្ជាប់ជាមួយ APT28។ បន្ទុកទិន្នន័យប្រើប្រាស់ឯកសារ Windows Shortcut (.lnk) ដែលបង្កើតឡើងជាពិសេស ដែលបង្កប់ឯកសារ HTML ភ្លាមៗបន្ទាប់ពីរចនាសម្ព័ន្ធ LNK ស្តង់ដារ។

ពេល​ដំណើរការ​ឯកសារ LNK នឹង​ភ្ជាប់​ទៅ wellnesscaremed[.]com ដែល​ជា​ដែន​មួយ​ដែល​ត្រូវ​បាន​សន្មត​ថា​ជា​យុទ្ធនាការ​ពហុ​ដំណាក់កាល​របស់ APT28។

យោង​តាម​ការវិភាគ​របស់ Akamai ការ​វាយប្រហារ​នេះ​ប្រើ iframes ដែល​បាន​ដាក់​ជា​ស្រទាប់ៗ និង​បរិបទ Document Object Model (DOM) ច្រើន​ដើម្បី​រៀបចំ​ព្រំដែន​នៃ​ការ​ទុកចិត្ត។

បច្ចេកទេសនេះរំលង Mark of the Web (MotW) និង Internet Explorer Enhanced Security Configuration (IE ESC)។

តាមរយៈការបន្ទាបកម្រិតបរិបទសុវត្ថិភាព អ្នកវាយប្រហារអាចបង្កឱ្យមានលំហូររុករកដែលងាយរងគ្រោះ និងប្រតិបត្តិកូដតាមអំពើចិត្ត។

ក្រុមហ៊ុន Microsoft បានដោះស្រាយភាពងាយរងគ្រោះនៅក្នុងការអាប់ដេត Patch Tuesday ខែកុម្ភៈ ឆ្នាំ 2026។ ការជួសជុលនេះណែនាំការផ្ទៀងផ្ទាត់កាន់តែតឹងរ៉ឹងសម្រាប់ពិធីការ hyperlink។

វាធានាថាពិធីការដែលគាំទ្រ ដូចជា file://, http:// និង https:// ដំណើរការនៅក្នុងបរិបទកម្មវិធីរុករកជាជាងការបញ្ជូនដោយផ្ទាល់ទៅ ShellExecuteExW។

Akamai ព្រមានថា ខណៈពេលដែលការវាយប្រហារដែលត្រូវបានសង្កេតឃើញប្រើប្រាស់យុទ្ធនាការជាក់លាក់មួយដែលប្រើប្រាស់ឯកសារ .LNK ដែលមានគំនិតអាក្រក់ ភាពងាយរងគ្រោះអាចត្រូវបានបង្កឡើងដោយសមាសធាតុណាមួយដែលបង្កប់ MSHTML។

អង្គការនានាត្រូវបានណែនាំឱ្យអនុវត្តការអាប់ដេតសុវត្ថិភាពខែកុម្ភៈ ឆ្នាំ២០២៦ ដើម្បីកាត់បន្ថយហានិភ័យ និងនៅតែប្រុងប្រយ័ត្នប្រឆាំងនឹងយន្តការចែកចាយជំនួស។