ช่องโหว่ CVE-2026-50656 ของ RoguePlanet

ไมโครซอฟต์ได้ยอมรับอย่างเป็นทางการถึงช่องโหว่ Zero-day ที่เพิ่งถูกเปิดเผย ซึ่งส่งผลกระทบต่อ Microsoft Defender หรือที่รู้จักกันในชื่อ RoguePlanet และยืนยันว่ากำลังอยู่ระหว่างการพัฒนาการอัปเดตด้านความปลอดภัยเพื่อแก้ไขปัญหาดังกล่าว

ช่องโหว่นี้ได้รับการกำหนดหมายเลข CVE-2026-50656 และมีคะแนนความรุนแรง CVSS อยู่ที่ 7.8 ตามข้อมูลของ Microsoft ช่องโหว่นี้จัดอยู่ในประเภทช่องโหว่การยกระดับสิทธิ์ภายใน Microsoft Malware Protection Engine ที่ใช้โดย Microsoft Defender

ไมโครซอฟต์ระบุว่ารับทราบถึงปัญหาที่ถูกเปิดเผยต่อสาธารณะแล้ว ซึ่งนักวิจัยด้านความปลอดภัยได้ตั้งชื่อช่องโหว่นี้ว่า RoguePlanet

ทำความเข้าใจภัยคุกคามที่อยู่เบื้องหลัง RoguePlanet

การเปิดเผยครั้งนี้เกิดขึ้นหลังจากที่ RoguePlanet เปิดเผยช่องโหว่นี้ต่อสาธารณะเมื่อประมาณหนึ่งสัปดาห์ก่อนหน้านี้ นักวิจัยที่ค้นพบช่องโหว่นี้อธิบายว่าเป็นช่องโหว่ประเภท Race Condition ที่สามารถทำให้ผู้โจมตีเข้าถึง Command Shell ที่ทำงานด้วยสิทธิ์ระดับ SYSTEM ได้

เนื่องจากช่องโหว่นี้อาศัยเงื่อนไขการแข่งขัน (race condition) อัตราความสำเร็จจึงแตกต่างกันไปในแต่ละระบบ การทดสอบแสดงให้เห็นว่าอุปกรณ์บางชนิดสามารถถูกเจาะระบบได้ด้วยอัตราความสำเร็จเกือบสมบูรณ์แบบ ในขณะที่อุปกรณ์อื่นๆ มีความต้านทานต่อการเจาะระบบมากกว่า

ที่สำคัญคือ ฟังก์ชันการทำงานที่ผ่านการทดสอบ (Proof-of-Concept หรือ PoC) ที่เผยแพร่ออกไปนั้น ทำงานได้ไม่ว่าฟีเจอร์การป้องกันแบบเรียลไทม์ของ Microsoft Defender จะเปิดใช้งานหรือปิดใช้งานอยู่ก็ตาม

รายชื่อช่องโหว่ด้านความปลอดภัยของ Defender ที่เพิ่มขึ้นเรื่อยๆ

RoguePlanet เป็นช่องโหว่ที่สี่ของ Microsoft Defender ที่นักวิจัยกลุ่มเดียวกันเปิดเผยต่อสาธารณะ ก่อนหน้านี้มีช่องโหว่อื่นๆ ดังนี้:

บลูแฮมเมอร์ (CVE-2026-33825)
UnDefend (CVE-2026-45498)
RedSun (CVE-2026-41091)

ช่องโหว่ทั้งสามรายการที่เคยเปิดเผยไปก่อนหน้านี้ ได้รับการแก้ไขโดย Microsoft แล้ว

ผลกระทบที่อาจเกิดขึ้นจากการแสวงหาประโยชน์อย่างประสบความสำเร็จ

หากการโจมตีโดยใช้ RoguePlanet ประสบความสำเร็จ ผู้โจมตีจะได้รับสิทธิ์การเข้าถึงระดับ SYSTEM ซึ่งเป็นหนึ่งในระดับสิทธิ์สูงสุดที่มีอยู่ในระบบ Windows การเข้าถึงดังกล่าวทำให้ผู้ไม่ประสงค์ดีสามารถ:

เรียกใช้โค้ดตามอำเภอใจ
ดำเนินการที่ไม่ได้รับอนุญาตในระบบที่ได้รับผลกระทบ

สิทธิพิเศษที่เพิ่มขึ้นนี้จะเพิ่มศักยภาพในการสร้างผลกระทบจากการประนีประนอมที่ประสบความสำเร็จอย่างมีนัยสำคัญ

ทดสอบกับระบบ Windows ที่อัปเดตอย่างสมบูรณ์แล้ว

การทดสอบด้านความปลอดภัยยืนยันว่าช่องโหว่นี้ใช้งานได้ทั้งบนระบบ Windows 10 และ Windows 11 ที่ได้รับการอัปเดต Patch Tuesday เดือนมิถุนายน 2026 แล้ว ซึ่งแสดงให้เห็นว่าการติดตั้งเดสก์ท็อปที่อัปเดตอย่างสมบูรณ์แล้วยังคงมีความเสี่ยงจนกว่า Microsoft จะออกแพทช์แก้ไขโดยเฉพาะ

ช่องโหว่ของ Windows Server ต้องใช้วิธีการโจมตีที่แตกต่างออกไป

ในรูปแบบปัจจุบัน ช่องโหว่นี้ไม่สามารถใช้งานได้ในสภาพแวดล้อม Windows Server เนื่องจากผู้ใช้ทั่วไปไม่ได้รับอนุญาตให้ติดตั้งอิมเมจ ISO ซึ่งเป็นข้อกำหนดของเทคนิคการโจมตีที่มีอยู่

อย่างไรก็ตาม ข้อจำกัดนี้ไม่ควรตีความว่าเป็นภูมิคุ้มกัน นักวิจัยเน้นย้ำว่าการติดตั้ง Windows Server ยังคงได้รับผลกระทบจากช่องโหว่พื้นฐานอยู่ การโจมตีจะต้องได้รับการออกแบบใหม่เพื่อให้สอดคล้องกับข้อจำกัดของแพลตฟอร์มก่อนที่จะสามารถโจมตีได้อย่างสำเร็จ