ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ความปลอดภัยทางคอมพิวเตอร์ Microsoft แก้ไขช่องโหว่ 'Wormable' บน Windows...

Microsoft แก้ไขช่องโหว่ 'Wormable' บน Windows และการลบไฟล์แบบ Zero-Day

โดย Mura ใน ความปลอดภัยทางคอมพิวเตอร์
แปลเป็น:
ภาษาไทย

การเปิดตัว Patch Tuesday ล่าสุดของ Microsoft มาพร้อมกับคำเตือนอันน่ากลัวสำหรับผู้ใช้ Windows: มีช่องโหว่แบบ zero-day ที่ถูกใช้ประโยชน์อยู่ 2 รายการ และหนึ่งในนั้นสามารถทำให้ผู้โจมตีลบไฟล์สำคัญออกจากระบบเป้าหมายได้

บริษัทได้เผยแพร่การแก้ไขด้านความปลอดภัยอย่างเร่งด่วนสำหรับช่องโหว่ที่ได้รับการบันทึกไว้อย่างน้อย 55 รายการใน Windows และแอปพลิเคชันที่เกี่ยวข้อง รวมถึงข้อบกพร่องที่สำคัญใน Windows Storage, WinSock และ Microsoft Excel ในจำนวนนั้น ข้อบกพร่องการเรียกใช้โค้ดจากระยะไกล (RCE) ใน Windows Lightweight Directory Access Protocol (LDAP) ถูกเรียกว่า "เวิร์มเอเบิล" ซึ่งทำให้เกิดข้อกังวลเกี่ยวกับการใช้ประโยชน์อย่างแพร่หลาย

นี่คือสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับภัยคุกคามเหล่านี้ และเหตุใดการแก้ไขทันทีจึงมีความสำคัญ

ข้อบกพร่องการลบไฟล์แบบ Zero-Day (CVE-2025-21391)

ช่องโหว่ที่น่าตกใจที่สุดอย่างหนึ่งที่ได้รับการแก้ไขในการอัปเดตนี้คือ CVE-2025-21391 ซึ่งเป็นช่องโหว่สิทธิ์พิเศษใน Windows Storage ที่ทำให้ผู้โจมตีสามารถลบไฟล์บนระบบของเหยื่อได้ ซึ่งอาจส่งผลให้เกิดการหยุดชะงักครั้งใหญ่ ระบบไม่เสถียร หรืออาจถึงขั้นบริการหยุดชะงัก ซึ่งเป็นภัยคุกคามร้ายแรงต่อทั้งผู้ใช้รายบุคคลและธุรกิจ

เนื่องจากข้อบกพร่องนี้ถูกใช้ประโยชน์อย่างจริงจังแล้ว ผู้ใช้ Windows ควรติดตั้งแพตช์ทันทีเพื่อหลีกเลี่ยงการโจมตีที่อาจเกิดขึ้น

ข้อบกพร่องของ WinSock ทำให้สิทธิ์ของระบบถูกจำกัด (CVE-2025-21418)

CVE-2025-21418 ซึ่งเป็นช่องโหว่ระดับซีโร่เดย์อีกกรณีหนึ่งที่ส่งผลกระทบต่อ Windows Ancillary Function Driver สำหรับ WinSock หากสามารถโจมตีได้สำเร็จ ช่องโหว่ดังกล่าวจะให้สิทธิ์ระดับระบบแก่ผู้โจมตี ทำให้พวกเขาควบคุมอุปกรณ์ที่ได้รับผลกระทบได้เกือบทั้งหมด

Microsoft ได้จัดประเภทช่องโหว่นี้ว่าเป็นภัยคุกคามที่มีความสำคัญสูง โดยแนะนำให้ผู้ดูแลระบบติดตั้งแพตช์โดยไม่ชักช้าเพื่อลดความเสี่ยงในการถูกบุกรุก

ข้อบกพร่องของการเรียกใช้โค้ดจากระยะไกลแบบ 'Wormable' (CVE-2025-21376)

หนึ่งในช่องโหว่ที่น่ากังวลที่สุดในการอัปเดตนี้คือ CVE-2025-21376 ซึ่งเป็นข้อบกพร่องการดำเนินการโค้ดจากระยะไกล (RCE) ใน Windows Lightweight Directory Access Protocol (LDAP)

ข้อบกพร่องนี้ทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสามารถส่งคำขอที่ออกแบบมาเป็นพิเศษไปยังเซิร์ฟเวอร์ LDAP ที่มีช่องโหว่ ส่งผลให้เกิดบัฟเฟอร์ล้นซึ่งอาจนำไปใช้ในการเรียกใช้โค้ดจากระยะไกลได้ ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่าช่องโหว่นี้สามารถแพร่กระจายตัวเองไปยังเครือข่ายต่างๆ ได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้

ตามรายงานของ ZDI (Zero Day Initiative) องค์กรต่างๆ ที่ใช้เซิร์ฟเวอร์ LDAP ควรทดสอบและติดตั้งแพตช์โดยด่วนเพื่อป้องกันการโจมตีที่อาจลุกลามเป็นวงกว้าง

การเรียกใช้โค้ดจากระยะไกลของ Microsoft Excel (CVE-2025-21387)

ผู้ใช้ Microsoft Excel ยังมีความเสี่ยงเนื่องจาก CVE-2025-21387 ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่สามารถถูกใช้ประโยชน์ผ่าน Preview Pane ซึ่งหมายความว่าไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ เพียงแค่เปิดไฟล์ที่เป็นอันตรายใน Preview Pane ก็อาจทำให้เกิดช่องโหว่ได้

เพื่อบรรเทาภัยคุกคามนี้ให้เต็มที่ Microsoft จึงได้ออกแพตช์หลายรายการซึ่งจะต้องติดตั้งทั้งหมดเพื่อให้มั่นใจถึงการป้องกันที่สมบูรณ์แบบ

ช่องโหว่ที่สำคัญอื่น ๆ

Microsoft ยังได้แก้ไขข้อบกพร่องด้านความปลอดภัยที่สำคัญอื่น ๆ อีกหลายประการ ได้แก่:

  • CVE-2025-21194 – ข้อบกพร่องในการหลีกเลี่ยงคุณสมบัติที่ส่งผลกระทบต่อ Microsoft Surface
  • CVE-2025-21377 – ช่องโหว่การปลอมแปลงใน NTLM Hash ซึ่งอาจทำให้ผู้โจมตีสามารถขโมยแฮช NTLMv2 ของผู้ใช้และพิสูจน์ตัวตนในฐานะผู้ใช้นั้นได้

การที่ Microsoft ไม่มี IOC ทำให้ฝ่ายป้องกันต้องอยู่ในความมืดมน

แม้ว่าช่องโหว่เหล่านี้จะมีความร้ายแรง แต่ Microsoft ก็ไม่ได้จัดให้มีตัวบ่งชี้การบุกรุก (Indicators of Compromise หรือ IOC) หรือข้อมูลการวัดระยะไกลเพื่อช่วยให้ทีมงานด้านความปลอดภัยตรวจจับการบุกรุกที่เกิดขึ้นจริงได้ การขาดความโปร่งใสนี้ทำให้ผู้ป้องกันระบุได้ยากว่าตนเองถูกบุกรุกหรือไม่

สิ่งที่คุณควรทำตอนนี้

  • รีบติดตั้งแพตช์ทั้งหมดที่มีทันที ผู้โจมตีใช้ประโยชน์จากข้อบกพร่องเหล่านี้แล้ว ดังนั้นการอัปเดตทันทีจึงมีความจำเป็น
  • ตรวจสอบกิจกรรมเครือข่ายเพื่อหาทราฟฟิก LDAP ที่น่าสงสัย ช่องโหว่ LDAP ที่เวิร์มได้อาจใช้สำหรับการโจมตีขนาดใหญ่
  • ปิดใช้งานบานหน้าต่างแสดงตัวอย่างใน Microsoft Excel ขั้นตอนง่ายๆ นี้อาจช่วยลดความเสี่ยงจากการโจมตีแบบไม่ต้องคลิก
  • ใช้เครื่องมือการป้องกันจุดสิ้นสุดและการตรวจสอบความปลอดภัย เพื่อตรวจจับการเพิ่มสิทธิ์หรือการลบไฟล์ที่ไม่ได้รับอนุญาต

เนื่องจากภัยคุกคามทางไซเบอร์มีความซับซ้อนมากขึ้น การติดตามการอัปเดต Patch Tuesday จึงมีความสำคัญมากกว่าที่เคย การเลื่อนการแก้ไขเหล่านี้ออกไปอาจทำให้ระบบของคุณเสี่ยงต่อการถูกโจมตีที่เป็นอันตราย สูญเสียข้อมูล และถูกโจมตีด้วยแรนซัมแวร์

ผู้ใช้ Microsoft ควรดำเนินการทันที ก่อนที่ผู้โจมตีจะโจมตี

กำลังโหลด...