CISA แจ้งเตือนหน่วยงานรัฐบาลสหรัฐฯ ให้รักษาความปลอดภัยระบบของตนเพื่อป้องกันช่องโหว่ Privilege Escalation บน Windows Task Host ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ระดับ SYSTEM ได้
Task Host เป็นองค์ประกอบหลักของระบบ Windows ที่ทำหน้าที่เป็น Container สำหรับ DLL-based processes ซึ่งช่วยให้โปรเซสเหล่านั้นสามารถทำงานอยู่เบื้องหลังได้ และคอยควบคุมให้ process ปิดตัวลงอย่างถูกต้องในระหว่างการ Shutdown เพื่อป้องกันไม่ให้ข้อมูลเสียหาย
ช่องโหว่ด้านความปลอดภัยของ Windows นี้ มีหมายเลข CVE-2025-60710 โดยเกิดจาก Link following weakness ที่ส่งผลกระทบต่ออุปกรณ์ที่ใช้ระบบปฏิบัติการ Windows 11 และ Windows Server 2025 โดยทาง Microsoft ได้ออกแพตช์แก้ไขไปแล้วเมื่อเดือนพฤศจิกายน 2025
ผู้โจมตีที่มีสิทธิ์การใช้งานระดับพื้นฐานในระบบ จะสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้ผ่านการโจมตีที่ไม่ซับซ้อน ซึ่งจะทำให้พวกเขาสามารถยกระดับสิทธิ์เป็น SYSTEM และเข้าควบคุมอุปกรณ์ที่ตกเป็นเหยื่อได้อย่างสมบูรณ์
Microsoft อธิบายว่า "การจัดการลิงก์อย่างไม่เหมาะสมก่อนเข้าถึงไฟล์ ('link following') ใน Host Process สำหรับ Windows Tasks อาจทำให้ผู้โจมตีที่มีสิทธิ์ในระบบสามารถยกระดับสิทธิ์การใช้งานของตนเองได้"
เมื่อวันจันทร์ที่ผ่านมา CISA ได้เพิ่ม CVE-2025-60710 ลงใน Catalog ช่องโหว่ที่ถูกนำไปใช้ในการโจมตีจริง และได้กำหนดเวลาให้หน่วยงานพลเรือนภายใต้ฝ่ายบริหารของรัฐบาลกลาง (FCEB) ดำเนินการอัปเดตความปลอดภัยระบบของตนภายในสองสัปดาห์ ตามข้อบังคับ Binding Operational Directive (BOD) 22-01 ที่ออกเมื่อเดือนพฤศจิกายน 2021
CISA ไม่ได้เปิดเผยรายละเอียดใด ๆ เกี่ยวกับการโจมตีเหล่านี้ และ Microsoft ก็ยังไม่ได้อัปเดตประกาศแจ้งเตือนด้านความปลอดภัยเพื่อยืนยันว่ามีการใช้ช่องโหว่ดังกล่าวในการโจมตีจริง
แม้ว่าคำสั่ง BOD 22-01 จะมีผลบังคับใช้เฉพาะกับหน่วยงานระดับรัฐบาลกลางของสหรัฐฯ เท่านั้น แต่ CISA ได้เรียกร้องให้ผู้ดูแลระบบรักษาความปลอดภัยทุกคน (รวมถึงองค์กรในภาคเอกชน) เร่งดำเนินการติดตั้งแพตช์แก้ไข CVE-2025-60710 และรักษาความปลอดภัยให้กับเครือข่ายขององค์กรโดยเร็วที่สุด
CISA ระบุว่า "ช่องโหว่ประเภทนี้มักเป็นช่องทางที่ผู้ไม่หวังดีทางไซเบอร์นำมาใช้โจมตีอยู่บ่อยครั้ง และก่อให้เกิดความเสี่ยงอย่างร้ายแรงต่อหน่วยงานของรัฐบาลกลาง"
"ให้ใช้มาตรการลดผลกระทบตามคำแนะนำของผู้ให้บริการ ปฏิบัติตามคำแนะนำของ BOD 22-01 ที่บังคับใช้สำหรับ Cloud services หรือเลิกใช้ผลิตภัณฑ์ดังกล่าวหากไม่มีมาตรการลดผลกระทบ"
เมื่อหนึ่งสัปดาห์ก่อน CISA ได้กำหนดเวลา 4 วันให้หน่วยงานรัฐบาลกลางรักษาความปลอดภัยเครือข่ายของตน เพื่อรับมือกับช่องโหว่ที่มีความรุนแรงระดับ Critical ใน Ivanti Endpoint Manager Mobile (EPMM) ซึ่งถูกนำไปใช้ในการโจมตีมาตั้งแต่เดือนมกราคม
เมื่อช่วงต้นสัปดาห์ที่ผ่านมา Microsoft ยังได้ปล่อยอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ 167 รายการ ซึ่งรวมถึงช่องโหว่ zero-day จำนวน 2 รายการ ในชุดอัปเดต Patch Tuesday ประจำเดือนเมษายน 2026
ที่มา : bleepingcomputer
You must be logged in to post a comment.