Microsoft ออกแพตซ์อัปเดตประจำเดือนมิถุนายน 2025 แก้ไขช่องโหว่ 66 รายการ รวมถึงช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 1 รายการ

Microsoft ออก Patch Tuesday ประจำเดือนมิถุนายน 2025 โดยแก้ไขช่องโหว่ 66 รายการ ซึ่งรวมถึงช่องโหว่ Zero-Days 1 รายการ ที่พบหลักฐานว่ากำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน และช่องโหว่ Zero-Days ที่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะ 1 รายการ

โดย Patch Tuesday ประจำเดือนพฤษภาคม 2025 มีการแก้ไขช่องโหว่ระดับ Critical จำนวน 10 รายการ ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 8 รายการ และช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) 2 รายการ

ช่องโหว่ในแต่ละประเภทมีดังต่อไปนี้ :

  • ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) 13 รายการ
  • ช่องโหว่การ Bypass คุณสมบัติด้านความปลอดภัย (Security Feature Bypass) 3 รายการ
  • ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 25 รายการ
  • ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 17 รายการ
  • ช่องโหว่ที่ทำให้เกิด DoS (Denial of Service) 6 รายการ
  • ช่องโหว่ของการปลอมแปลง (Spoofing) 2 รายการ

ทั้งนี้ไม่รวมช่องโหว่ Mariner, Microsoft Edge และ Power Automate ที่ได้รับการแก้ไขในเดือนมิถุนายน 2025

ช่องโหว่ Zero-Days 2 รายการ

Patch Tuesday ประจำเดือนมิถุนายน 2025 มีการแก้ไขช่องโหว่ Zero-days โดยเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตี 1 รายการ และช่องโหว่ที่ถูกเปิดเผยออกสู่สาธารณะ 1 รายการ

Microsoft จัดประเภทช่องโหว่ Zero-Days ว่าเป็นช่องโหว่ที่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะ หรือเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีในขณะที่ยังไม่มีการแก้ไขช่องโหว่อย่างเป็นทางการ

ช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี

CVE-2025-33053 - Web Distributed Authoring and Versioning (WEBDAV) Remote Code Execution Vulnerability

Microsoft ได้แก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Microsoft Windows Web Distributed Authoring and Versioning ซึ่งทำให้ Hacker ที่สามารถโจมตีช่องโหว่ได้สำเร็จ สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนเครื่องที่มีช่องโหว่ได้ โดย Alexandra Gofman และ David Driker (Check Point Research) เป็นผู้ค้นพบช่องโหว่ดังกล่าว

Microsoft รายงานว่า ในการที่จะโจมตีช่องโหว่ให้สำเร็จได้ ผู้ใช้งานจะต้องคลิกบน URL ของ WebDav ที่สร้างขึ้นมาเป็นพิเศษเพื่อให้สามารถโจมตีช่องโหว่ได้

รายงานจาก Check Point Research อธิบายว่า CVE-2025-33053 กำลังถูกใช้ในการโจมตีแบบ Zero-Day โดยกลุ่ม APT ที่ชื่อว่า "Stealth Falcon"

ซึ่งทาง Check Point Research ได้เปิดเผยการพบการโจมตีทางไซเบอร์ไปยังบริษัทด้านการป้องกันประเทศในตุรกี ด้วยวิธีการที่ไม่เคยถูกค้นพบ โดยเป็นการเรียกใช้ไฟล์ที่โฮสต์บนเซิร์ฟเวอร์ WebDAV ที่ Hacker ควบคุมอยู่ โดยการจัดการ working directory ของเครื่องมือ Windows หลังจากนั้นทาง Microsoft ได้เปิดเผยช่องโหว่ CVE-2025-33053 และแพตช์อัปเดตเมื่อวันที่ 10 มิถุนายน 2025 ซึ่งเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ประจำเดือนมิถุนายน 2025

ช่องโหว่ Zero-Days ที่ถูกเปิดเผยออกสู่สาธารณะ

CVE-2025-33073 - Windows SMB Client Elevation of Privilege Vulnerability

Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) ใน Windows SMB ที่ทำให้ Hacker สามารถได้รับสิทธิ์ SYSTEM บนอุปกรณ์ที่มีช่องโหว่ได้

Microsoft รายงานว่า ในการโจมตีช่องโหว่นี้ Hacker สามารถเรียกใช้สคริปต์ที่เป็นอันตรายซึ่งออกแบบมาเป็นพิเศษเพื่อบังคับให้เครื่องของเหยื่อเชื่อมต่อกลับไปยังระบบของผู้โจมตีโดยใช้ SMB และทำการ authenticate ซึ่งอาจส่งผลให้สามารถยกระดับสิทธิ์ได้

Microsoft ยังไม่ได้เปิดเผยข้อมูลว่าช่องโหว่นี้ถูกเปิดเผยต่อสาธารณะอย่างไร

อย่างไรก็ตาม Born City รายงานว่า DFN-CERT (Computer Emergency Response Team of the German Research Network) เริ่มเผยแพร่คำเตือนจาก RedTeam Pentesting เกี่ยวกับช่องโหว่ดังกล่าวแล้ว

แม้ว่าช่องโหว่ดังกล่าวจะได้รับการแก้ไขแล้ว แต่ช่องโหว่ดังกล่าวยังสามารถ mitigated ได้โดยการบังคับใช้ SMB signing ฝั่งเซิร์ฟเวอร์ผ่าน Group Policy

Microsoft ระบุว่าการค้นพบช่องโหว่นี้เกิดจากนักวิจัยหลายคน รวมถึง Keisuke Hirata จาก CrowdStrike, Synacktiv จากการวิจัยร่วมกับ Synacktiv, Stefan Walter จาก SySS GmbH, RedTeam Pentesting GmbH และ James Forshaw จาก Google Project Zero

การอัปเดตด้านความปลอดภัยจากบริษัทอื่น ๆ

นอกจาก Microsoft ได้ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนมิถุนายน 2025 แล้ว ยังมีบริษัทอื่น ๆ ที่ออกแพตซ์อัปเดตด้านความปลอดภัยเช่นกัน ได้แก่ :

  • Adobe ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ InCopy, Experience Manager, Commerce, InDesign, Substance 3D Sampler, Acrobat Reader และ Substance 3D Painter
  • Cisco ออกแพตซ์อัปเดตสำหรับช่องโหว่สามรายการที่มีโค้ดการโจมตีถูกปล่อยออกสู่สาธารณะในผลิตภัณฑ์ Identity Services Engine (ISE) และ Customer Collaboration Platform (CCP)
  • Fortinet ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ OS Command Injection ในผลิตภัณฑ์ FortiManager, FortiAnalyzer และ FortiAnalyzer-BigData
  • แพตซ์อัปเดตด้านความปลอดภัย ของ Google สำหรับ Android ในเดือนมิถุนายน 2025 ได้แก้ไขช่องโหว่จำนวนมาก นอกจากนี้ Google ยังแก้ไขช่องโหว่แบบ zero-day ของ Google Chrome ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องอีกด้วย
  • Hewlett Packard Enterprise (HPE) ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่แปดรายการที่ส่งผลกระทบต่อ StoreOnce
  • Ivanti ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่แบบ hardcoded key ที่มีระดับความรุนแรงสูงสามรายการใน Workspace Control (IWC)
  • Qualcomm ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ zero-day จำนวน 3 รายการในไดรเวอร์ Adreno Graphics Processing Unit (GPU) ที่ถูกใช้ประโยชน์ในการโจมตีแบบกำหนดเป้าหมาย
  • Roundcube ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical ซึ่งมี public exploit ที่กำลังถูกนำไปใช้ในการโจมตีในปัจจุบัน
  • SAP ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ รวมถึงการตรวจสอบ authorization ที่ขาดหายไปใน SAP NetWeaver Application Server สำหรับ ABAP

ที่มา : bleepingcomputer