นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่โค้ดตัวอย่างการโจมตี (PoC) ของช่องโหว่ Zero-Day ใน Windows ที่เรียกว่า "MiniPlasma" ซึ่งทำให้ Hacker สามารถเข้าถึงสิทธิ์ระดับ SYSTEM บนระบบ Windows ที่อัปเดตแพตซ์แล้วได้
ช่องโหว่นี้ถูกเผยแพร่โดยนักวิจัยที่รู้จักกันในชื่อ Chaotic Eclipse หรือ Nightmare Eclipse ซึ่งได้เผยแพร่ทั้ง source code และไฟล์ executable บน GitHub หลังจากอ้างว่า Microsoft ล้มเหลวในการแก้ไขช่องโหว่ที่รายงานไว้ก่อนหน้านี้ในปี 2020 อย่างถูกต้อง
ตามที่นักวิจัยระบุ ช่องโหว่นี้ส่งผลกระทบต่อ cldflt.sys' Cloud Filter driver' และ'HsmOsBlockPlaceholderAccess' routine ซึ่งเดิมทีนักวิจัยจาก Google Project Zero ชื่อ James Forshaw ได้รายงานไปยัง Microsoft ในเดือนกันยายน 2020
ในขณะนั้น ช่องโหว่นี้ได้รับการกำหนดหมายเลข CVE-2020-17103 และมีรายงานว่าได้รับการแก้ไขไปแล้วในเดือนธันวาคม 2020
โดยที่ Chaotic Eclipse ได้ทำการตรวจสอบแล้ว พบว่าเป็นช่องโหว่เดียวกันกับที่ Google Project Zero รายงานไปยัง Microsoft ซึ่งยังคงมีอยู่ และยังไม่ได้รับการแก้ไขช่องโหว่อย่างถูกต้อง เนื่องจากพบว่า PoC ช่องโหว่ CVE-2020-17103 ของ Google Project Zero ยังสามารถใช้โจมตีได้
ทั้งนี้ทาง BleepingComputer ได้ทำการทดสอบ PoC กับช่องโหว่ดังกล่าวเช่นกัน พบว่าบนระบบ Windows 11 Pro ที่ได้รับการอัปเดต Patch Tuesday เดือนพฤษภาคม 2026 ล่าสุด ก็ยังสามารถเปิดหน้าต่าง Command Prompt ด้วยสิทธิ์ระดับ SYSTEM ได้
เช่นเดียวกับ Will Dormann นักวิเคราะห์ช่องโหว่หลักของ Tharros ยืนยันว่าช่องโหว่นี้ใช้งานได้ในการทดสอบ PoC ของเขาบน Windows 11 เวอร์ชันล่าสุด อย่างไรก็ตาม เขาบอกว่าช่องโหว่นี้ใช้งานไม่ได้ใน Windows 11 Insider Preview Canary เวอร์ชันล่าสุด
ช่องโหว่ MiniPlasma โจมตีผ่านวิธีการที่ Windows Cloud Filter driver จัดการการสร้าง registry key ผ่าน API CfAbortHydration ที่ไม่ได้มีการบันทึกไว้ รายงานดั้งเดิมของ Forshaw ระบุว่า ช่องโหว่นี้อาจอนุญาตให้สร้าง registry key ใน .DEFAULT user hive โดยไม่ต้องตรวจสอบการเข้าถึงอย่างเหมาะสม ซึ่งอาจทำให้เกิดการยกระดับสิทธิ์ได้
แม้ว่า Microsoft จะรายงานว่าได้แก้ไขช่องโหว่นี้แล้วใน Microsoft Patch Tuesday เดือนธันวาคม 2020 แต่ Chaotic Eclipse อ้างว่าช่องโหว่นี้ยังคงสามารถถูกใช้โจมตีได้อยู่ในปัจจุบัน
อัปเดต 18/5/2026: แพลตฟอร์ม ZeroTrust ThreatLocker โพสต์บน X ว่าองค์กรควรตรวจสอบ registry key ต่อไปนี้สำหรับการเปลี่ยนแปลงโดยใช้ EDR เพื่อตรวจจับการโจมตี:
Chaotic Eclipse ที่อยู่เบื้องหลังช่องโหว่ Zero-day ของ Windows ล่าสุด
MiniPlasma เป็นช่องโหว่ Zero-day ของ Windows ล่าสุดที่นักวิจัย Chaotic Eclipse เปิดเผยในช่วงหลายสัปดาห์ที่ผ่านมา
การเปิดเผยช่องโหว่เริ่มขึ้นในเดือนเมษายน 2026 ด้วย BlueHammer ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ในเครื่องของ Windows ในหมายเลข CVE-2026-33825 ตามมาด้วยช่องโหว่การยกระดับสิทธิ์อีกตัวหนึ่งคือ RedSun และเครื่องมือ DoS ของ Windows Defender คือ UnDefend
หลังจากที่เปิดเผยช่องโหว่ทั้งสามแล้ว ก็พบว่ามีการโจมตีช่องโหว่เหล่านี้ นักวิจัยระบุว่า ไมโครซอฟต์ได้แก้ไขปัญหา RedSun อย่างเงียบ ๆ โดยไม่ได้กำหนดหมายเลข CVE ให้
ในเดือนพฤษภาคม 2026 นักวิจัยยังได้เปิดเผยช่องโหว่เพิ่มเติมอีกสองรายการ ได้แก่ YellowKey และ GreenPlasma
YellowKey เป็นช่องโหว่ที่สามารถ bypass BitLocker ได้ ซึ่งส่งผลกระทบต่อ Windows 11 และ Windows Server 2022/2025 โดยจะสร้าง command shell ที่ให้สิทธิ์เข้าถึง unlocked drives ซึ่งได้รับการป้องกันด้วย BitLocker แบบ TPM เท่านั้น
ก่อนหน้านี้ Chaotic Eclipse ได้ระบุว่า การเปิดเผยช่องโหว่ zero-day เหล่านี้ต่อสาธารณะ เป็นการประท้วงต่อกระบวนการให้รางวัลสำหรับการค้นหาช่องโหว่ และการจัดการช่องโหว่ของไมโครซอฟต์
ที่มา : Bleepingcomputer
You must be logged in to post a comment.