Microsoft ออกแพตช์ฉุกเฉินสำหรับ Windows Server เพื่อแก้ไขช่องโหว่ WSUS ที่มี PoC exploit ออกมาแล้ว

Microsoft ออกแพตซ์อัปเดตด้านความปลอดภัยฉุกเฉิน (Out-of-Band - OOB) เพื่อแก้ไขช่องโหว่ระดับ Critical ในส่วนของ Windows Server Update Services (WSUS) ซึ่งมี Proof-of-Concept (PoC) ที่ใช้สำหรับโจมตีถูกเผยแพร่ออกสู่สาธารณะแล้ว

WSUS เป็นผลิตภัณฑ์ของ Microsoft ที่ช่วยให้ผู้ดูแลระบบสามารถจัดการ และควบคุมการอัปเดตแพตซ์ของ Windows ไปยังคอมพิวเตอร์ภายในเครือข่ายของตนได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-59287 โดยเป็นช่องโหว่ Remote Code Execution (RCE) โดยช่องโหว่นี้จะส่งผลกระทบเฉพาะ Windows Server ที่มีการเปิดใช้งาน WSUS Server role เท่านั้น ซึ่งเป็น feature ที่ไม่ได้เปิดใช้งานเป็นค่าเริ่มต้น

ช่องโหว่นี้สามารถถูกโจมตีได้จากระยะไกลด้วยลักษณะการโจมตีที่มีความซับซ้อนต่ำ และไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้งาน ทำให้ผู้โจมตีที่ไม่มีสิทธิ์เข้าถึง สามารถโจมตีระบบที่มีช่องโหว่ และรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ SYSTEM ได้ ซึ่งช่องโหว่นี้มีโอกาสที่จะถูกใช้ในลักษณะ wormable ระหว่าง WSUS Servers ด้วยกันเองได้

Microsoft ระบุว่า Windows Servers ที่ไม่ได้เปิดใช้งาน WSUS Server role จะไม่ได้รับผลกระทบจากช่องโหว่นี้ แต่หากมีการเปิดใช้งาน WSUS Server role จะทำให้เกิดความเสี่ยงทันที หากยังไม่ได้อัปเดตแพตช์ก่อนที่จะเปิดใช้งาน

ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถส่ง Event ที่สร้างขึ้นมาเป็นพิเศษ ซึ่งจะทำให้เกิด unsafe object deserialization ใน serialization mechanism ส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายจากระยะไกลได้

Microsoft ได้ออกแพตซ์อัปเดตความปลอดภัยสำหรับ Windows Server ทุกเวอร์ชันที่ได้รับผลกระทบ และแนะนำให้ลูกค้าติดตั้งการอัปเดตเหล่านั้นโดยเร็วที่สุดเท่าที่จะทำได้ โดยมีรายการดังนี้

  • Windows Server 2025 (KB5070881)
  • Windows Server, version 23H2 (KB5070879)
  • Windows Server 2022 (KB5070884)
  • Windows Server 2019 (KB5070883)
  • Windows Server 2016 (KB5070882)
  • Windows Server 2012 R2 (KB5070886)
  • Windows Server 2012 (KB5070887)

ตามที่ Microsoft เปิดเผยในการอัปเดตเมื่อวันที่ 23 ตุลาคม 2025 ที่ผ่านมาในประกาศด้านความปลอดภัยฉบับเดิม โดยระบุว่ามี PoC ของช่องโหว่ CVE-2025-59287 ถูกเปิดเผยออกมาแล้ว ซึ่งทำให้การอัปเดตแพตช์บนเซิร์ฟเวอร์ที่มีช่องโหว่จึงเป็นความสำคัญเร่งด่วน

Microsoft ยังได้แนะนำวิธีแก้ไขปัญหาชั่วคราว (Workarounds) สำหรับผู้ดูแลระบบที่ไม่สามารถอัปเดตแพตช์ฉุกเฉินเหล่านี้ได้ทันที เช่น ปิดใช้ WSUS Server เพื่อปิดช่องทางโจมตี หรือการบล็อกทราฟฟิกขาเข้าทั้งหมดไปยังพอร์ต 8530 และ 8531 บน Host Firewall เพื่อไม่ ให้ WSUS สามารถทำงานได้

อย่างไรก็ตาม สิ่งที่ควรทราบคือ อุปกรณ์อื่น ๆ จะหยุดรับการอัปเดตจากเซิร์ฟเวอร์ภายในองค์กร ทันทีหลังจากที่ WSUS ถูกปิดใช้งาน หรือทราฟฟิกถูกบล็อกไปแล้ว

Microsoft ได้ระบุเพิ่มเติมว่า อัปเดตนี้เป็นการอัปเดตแบบ cumulative ดังนั้น ไม่จำเป็นต้องอัปเดตแพตช์ใดก่อนหน้าการอัปเดตนี้ เพราะการอัปเดตนี้จะมาแทนที่การอัปเดตทั้งหมดที่ผ่านมาสำหรับเวอร์ชันที่ได้รับผลกระทบ

หากยังไม่ได้อัปเดตความปลอดภัยของ Windows เดือนตุลาคม 2025 ขอแนะนำให้ใช้การอัปเดตแบบ OOB (ฉุกเฉิน) นี้แทน และหลังจากที่การอัปเดตแล้ว ต้องทำการรีบูตระบบใหม่

ในเอกสาร separate support ของ Microsoft ระบุว่า WSUS จะไม่แสดงรายละเอียด synchronization error หลังจากติดตั้งการอัปเดตเหล่านี้ หรือการอัปเดตที่ใหม่กว่า เนื่องจากมีการลบฟังก์ชันนี้ออกไปชั่วคราวเพื่อแก้ไขช่องโหว่ RCE ที่มีหมายเลข CVE-2025-59287

ช่องโหว่กำลังถูกใช้ในการโจมตีจริงแล้ว

บริษัทความมั่นคงปลอดภัยทางไซเบอร์ของเนเธอร์แลนด์ Eye Security รายงานเมื่อช่วงเช้าวันที่ 24 ตุลาคม 2025 ว่าได้พบ ความพยายามในการสแกน และโจมตีระบบแล้ว โดยมีอย่างน้อยหนึ่งระบบของลูกค้าที่ถูกโจมตีผ่านช่องโหว่ที่แตกต่างจากที่ Hawktrace เปิดเผยเมื่อสุดสัปดาห์ที่ผ่านมา

แม้ว่าเซิร์ฟเวอร์ WSUS โดยทั่วไปมักจะไม่ถูกเปิดให้เข้าถึงได้จากอินเทอร์เน็ต แต่ Eye Security ระบุว่า พบการเปิดใช้งานอยู่ประมาณ 2,500 รายการทั่วโลก รวมถึง 250 รายการในเยอรมนี และ ราว 100 รายการในเนเธอร์แลนด์

บริษัทความมั่นคงปลอดภัยทางไซเบอร์ของสหรัฐฯ Huntress ก็ตรวจพบหลักฐานของการโจมตีช่องโหว่ CVE-2025-59287 เช่นกัน โดยมุ่งเป้าไปที่ WSUS instances ที่เปิด Port เริ่มต้น (8530/TCP และ 8531/TCP) จากอินเทอร์เน็ต ตั้งแต่วันพฤหัสบดีที่ 23 ตุลาคม

Huntress ระบุว่า “คาดว่าการโจมตีที่ใช้ช่องโหว่ CVE-2025-59287 จะอยู่ในวงจำกัด เนื่องจาก WSUS ไม่ค่อยเปิด Port  8530 และ 8531 จากอินเทอร์เน็ต จากฐานข้อมูลพันธมิตรของเรา เราพบโฮสต์ที่อาจได้รับผลกระทบประมาณ 25 เครื่องเท่านั้น”

ในการโจมตีที่ Huntress ตรวจพบ ผู้โจมตีได้รันคำสั่ง PowerShell เพื่อสำรวจ Domain ภายในของ Windows จากนั้นจึงส่งข้อมูลดังกล่าวไปยัง webhook

ข้อมูลที่ถูกส่งออกไปนั้นรวมถึงผลลัพธ์จากคำสั่งต่อไปนี้:

  • whoami – แสดงชื่อผู้ใช้งานอยู่ในปัจจุบัน
  • net user /domain – แสดงรายการบัญชีผู้ใช้ทั้งหมดในโดเมนของ Windows
  • ipconfig /all – แสดงการตั้งค่าของเครือข่ายสำหรับทุกอินเทอร์เฟซในระบบ

ศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติเนเธอร์แลนด์ (NCSC-NL) ได้ยืนยันผลการตรวจสอบของทั้งสองบริษัท พร้อมแจ้งผู้ดูแลระบบเกี่ยวกับความเสี่ยงที่เพิ่มขึ้น เนื่องจากมี PoC exploit ถูกเผยแพร่ออกมาแล้ว

NCSC-NL ระบุ ในประกาศเตือนว่า  “NCSC ได้รับข้อมูลจากพันธมิตรที่เชื่อถือได้ว่า พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2025-59287 เมื่อวันที่ 24 ตุลาคม 2025”

“โดยปกติบริการ WSUS ไม่ควรถูกเปิดให้เข้าถึงได้จากอินเทอร์เน็ต และขณะนี้มี PoC exploit ถูกเผยแพร่ออกสู่สาธารณะแล้ว ซึ่งเพิ่มความเสี่ยงต่อการถูกโจมตีมากขึ้น”

Microsoft ได้จัดระดับความเสี่ยงช่องโหว่ CVE-2025-59287 ว่า “มีแนวโน้มที่จะถูกโจมตีสูง” ซึ่งหมายความว่าเป็นเป้าหมายที่น่าสนใจสำหรับผู้โจมตี อย่างไรก็ตาม ยังไม่ได้มีการอัปเดตคำแนะนำเพื่อยืนยันว่ามีการโจมตีเกิดขึ้นจริงแล้ว

ที่มา : bleepingcomputer ,bleepingcomputer