Microsoft ออก Patch Tuesday ประจำเดือนมกราคม 2025 โดยแก้ไขช่องโหว่ 159 รายการ และช่องโหว่ zero-days 8 รายการ โดยมีช่องโหว่ zero-days 3 รายการ ที่พบหลักฐานว่ากำลังถูกนำมาใช้ในการโจมตี
Patch Tuesday ประจำเดือนมกราคม 2025 มีการแก้ไขช่องโหว่ระดับ Critical จำนวน 12 รายการ ซึ่งเป็นช่องโหว่ Information Disclosure, Privileges Elevation และ Remote Code Execution
ช่องโหว่ในแต่ละประเภทมีดังต่อไปนี้ :
- ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) 40 รายการ
- ช่องโหว่การหลีกเลี่ยงคุณสมบัติด้านความปลอดภัย (Security Feature Bypass) 14 รายการ
- ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 58 รายการ
- ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 24 รายการ
- ช่องโหว่ที่ทำให้เกิด DoS (Denial of Service) 20 รายการ
- ช่องโหว่ของการปลอมแปลง (Spoofing) 5 รายการ
Patch Tuesday ประจำเดือนมกราคม 2025 มีการแก้ไขช่องโหว่ zero-days โดยเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตี 3 รายการ และช่องโหว่ที่มีการเปิดเผยรายละเอียดออกสู่สาธารณะแล้ว 5 รายการ (แต่อาจยังไม่พบหลักฐานว่ากำลังถูกใช้ในการโจมตี)
Microsoft จัดประเภทช่องโหว่ Zero-Days ว่าเป็นช่องโหว่ที่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะ หรือเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีในขณะที่ยังไม่มีการแก้ไขอย่างเป็นทางการ
ช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 3 รายการ
CVE-2025-21333, CVE-2025-21334, CVE-2025-21335 - Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege Vulnerability
Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ 3 รายการใน Windows Hyper-V ที่กำลังถูกใช้ในการโจมตีเพื่อให้ได้รับสิทธิ์ SYSTEM บนอุปกรณ์ Windows
ปัจจุบันยังไม่มีการเปิดเผยข้อมูลว่าช่องโหว่เหล่านี้ถูกนำไปใช้ในการโจมตีได้อย่างไร และทั้งหมดยังไม่มีการระบุชื่อผู้ค้นพบช่องโหว่
เนื่องจาก CVE สำหรับช่องโหว่ทั้ง 3 รายการนี้มีหมายเลขเรียงตามลำดับ และเป็นช่องโหว่ในลักษณะเดียวกัน จึงมีแนวโน้มว่าทั้งหมดจะถูกใช้ หรือค้นพบผ่านการโจมตีรูปแบบเดียวกัน
ช่องโหว่ Zero-Days ที่ที่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะ 5 รายการ
CVE-2025-21275 - Windows App Package Installer Elevation of Privilege Vulnerability
Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ใน Windows App Package Installer ซึ่งอาจทำให้ได้รับสิทธิ์ SYSTEM โดยช่องโหว่นี้ถูกแจ้งไปยัง Microsoft โดยไม่เปิดเผยตัวตน
CVE-2025-21308 - Windows Themes Spoofing Vulnerability
Microsoft แก้ไขช่องโหว่ Windows Theme ที่สามารถถูกโจมตีได้โดยเพียงแสดง Theme file ที่สร้างขึ้นเป็นพิเศษใน Windows Explorer
โดยที่ Hacker จะต้องโน้มน้าวให้ผู้ใช้ให้โหลดไฟล์ที่เป็นอันตรายลงในระบบที่มีช่องโหว่ โดยทั่วไปจะใช้วิธีการหลอกลวงใน Email และ Instant Messenger จากนั้นจึงโน้มน้าวผู้ใช้ให้จัดการไฟล์ที่สร้างขึ้นเป็นพิเศษ แต่ไม่จำเป็นต้องคลิก หรือเปิดไฟล์ที่เป็นอันตราย
Blaz Satler ค้นพบช่องโหว่นี้ด้วย 0patch โดย ACROS Security ซึ่งเป็นการ Bypass ช่องโหว่ก่อนหน้านี้ที่มีหมายเลข CVE-2024-38030 โดยก่อนหน้านี้ 0patch ได้ปล่อยไมโครแพตช์สำหรับช่องโหว่นี้ในเดือนตุลาคม 2024 ขณะที่รอให้ Microsoft แก้ไข
เมื่อ View Theme file ใน Windows Explorer และใช้ Option BrandImage และ Wallpaper ที่ระบุ network file path ไว้ Windows จะส่ง authentication requests ไปยังโฮสต์ภายนอกโดยอัตโนมัติ ซึ่งจะมี NTLM credentials ของผู้ใช้ที่เข้าสู่ระบบด้วย ทำให้สามารถ cracked NTLM hashes เหล่านี้เป็นรูปแบบ plain-text password หรือนำไปใช้ในการโจมตีแบบ pass-the-hash ได้
ทั้งนี้ Microsoft ระบุว่าช่องโหว่ดังกล่าวจะลดความเสี่ยงลงหากปิดใช้งาน NTLM หรือเปิดใช้งาน policy "Restrict NTLM: Outgoing NTLM traffic to remote servers"
CVE-2025-21186, CVE-2025-21366, CVE-2025-21395 - Microsoft Access Remote Code Execution Vulnerability
Microsoft ได้แก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล 3 รายการใน Microsoft Access ซึ่งถูกใช้โจมตีเมื่อเปิดเอกสาร Microsoft Access ที่ถูกสร้างขึ้นมาเป็นพิเศษ
Microsoft ได้แก้ปัญหาโดยการบล็อกการเข้าถึงเอกสาร Microsoft Access ต่อไปนี้หากมีการส่งมาทางอีเมล:
- accdb
- accde
- accdw
- accdt
- accda
- accdr
- accdu
สิ่งที่ทำให้เหตุการณ์นี้มีความน่าสนใจก็คือ Unpatched.ai ซึ่งเป็นแพลตฟอร์มค้นหาช่องโหว่ด้วยความช่วยเหลือจาก AI เป็นผู้ค้นพบช่องโหว่ทั้ง 3 รายการ
การอัปเดตด้านความปลอดภัยจากบริษัทอื่น ๆ
นอกจาก Microsoft ได้ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนมกราคม 2025 แล้ว ยังมีบริษัทอื่น ๆ ที่ออกแพตซ์อัปเดตด้านความปลอดภัยเช่นกัน ได้แก่ :
- Adobe ออกแพตซ์อัปเดตความปลอดภัยสำหรับ Photoshop, Substance3D Stager และ Designer, Adobe Illustrator สำหรับ iPad และ Adobe Animate
- Cisco ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ รวมถึง Cisco ThousandEyes Endpoint Agent และ Cisco Crosswork Network Controller
- Ivanti ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ Connect Secure แบบ zero-days ที่กำลังถูกใช้ในการโจมตีเพื่อแพร่กระจายมัลแวร์บนอุปกรณ์
- Fortinet ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ zero-days ที่หลีกเลี่ยงการยืนยันตัวตนใน FortiOS และ FortiProxy ซึ่งกำลังถูกใช้ในการโจมตีมาตั้งแต่เดือนพฤศจิกายน 2024
- GitHub ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ Git 2 รายการ
- Moxa ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ที่มีระดับความรุนแรงสูง และระดับ Critical ในอุปกรณ์เครือข่ายอุตสาหกรรม และเครือข่ายการสื่อสาร
- ProjectDiscovery ออกแพตซ์อัปเดตด้านความปลอดภัยในเดือนกันยายน 2024 สำหรับช่องโหว่ของ Nuclei ที่ทำให้ templates ที่เป็นอันตรายสามารถหลีกเลี่ยงการตรวจสอบ signature verification
- SAP ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ รวมถึงการแก้ไขช่องโหว่ระดับ Critical 2 รายการ (9.9/10) ใน SAP NetWeaver
- SonicWall ออกแพตซ์อัปเดตสำหรับช่องโหว่การ Bypass การยืนยันตัวตนใน SSL VPN และการจัดการ SSH ที่เสี่ยงต่อการถูกใช้ในการโจมตีช่องโหว่
- Zyxel ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การจัดการสิทธิ์พิเศษที่ไม่เหมาะสมใน web management interface
ที่มา : bleepingcomputer
You must be logged in to post a comment.