ช่องโหว่ที่เพิ่งถูกเปิดเผยล่าสุดใน Microsoft Windows DNS Client อาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายภายในเครือข่ายขององค์กร โดยสามารถหลบเลี่ยงการตรวจจับได้ ซึ่งอาจถูกนำไปใช้ในการโจมตีเป็นวงกว้าง
ช่องโหว่นี้มีหมายเลข CVE-2026-41096 โดยเป็นช่องโหว่ที่มีความรุนแรงอยู่ในระดับ Critical และมีคะแนน CVSS สูงถึง 9.8 จาก 10 ซึ่งถือว่ารุนแรงมาก
โดยผู้โจมตีสามารถยึดครองอุปกรณ์ที่มีช่องโหว่ได้ทันที เพียงแค่ส่ง response ที่เป็นอันตราย กลับไปยัง network query ตามปกติ โดยไม่จำเป็นต้องอาศัยการตอบโต้จากผู้ใช้ หรือไม่ต้องผ่านการยืนยันตัวตนใด ๆ ก่อน
แม้ว่าในปัจจุบัน Microsoft จะประเมินว่าโอกาสที่จะเกิดการโจมตีจริงนั้นยังมีน้อย แต่ด้วยจำนวนเครื่องคอมพิวเตอร์ที่ได้รับผลกระทบมีจำนวนมาก ทำให้ความเสี่ยงนี้เป็นความเสี่ยงระดับสูงที่ทีมรักษาความปลอดภัยไซเบอร์ทั่วโลกจำเป็นต้องให้ความสำคัญ และรับมือเป็นอันดับแรก ๆ
ช่องโหว่ RCE ใน Windows DNS Client
หัวใจสำคัญของช่องโหว่นี้คือ Buffer Overflow ประเภท Heap-based ซึ่งฝังอยู่ในโครงสร้างสถาปัตยกรรมของระบบปฏิบัติการ Windows โดยช่องโหว่นี้มุ่งเป้าการโจมตีไปที่ DNSAPI.dll Component โดยเฉพาะ ซึ่งเป็นไฟล์พื้นฐานที่มีหน้าที่ประมวลผลการตอบกลับของ network address ขาเข้าบนเครื่อง Windows รุ่นใหม่เกือบทุกเครื่อง
ทุกครั้งที่เบราว์เซอร์พยายามจะโหลดหน้าเว็บ, เปิดใช้งาน และเชื่อมต่อ VPN หรือบริการเบื้องหลังที่กำลังตรวจสอบการอัปเดตซอฟต์แวร์ ระบบจะทำการส่ง query ตามมาตรฐานขึ้นมาเสมอ และเมื่อเครื่องคอมพิวเตอร์ที่มีช่องโหว่ได้รับ response ที่ถูกสร้างขึ้นมาเป็นพิเศษจากผู้โจมตี ซอฟต์แวร์จะคำนวณขอบเขตของ memory ผิดพลาด และประมวลผลชุดข้อมูลที่ส่งมาทางเครือข่ายอย่างไม่ถูกต้อง
ตามรายงานคู่มืออัปเดตความปลอดภัยของ Microsoft ระบุว่า ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดใด ๆ โดยอาศัยช่องโหว่จากการประมวลผล memory ที่ผิดพลาด ภายใน Windows DNS Client ซึ่งผู้โจมตีอาจทำการโจมตีในลักษณะนี้สำเร็จได้ ผ่านทางเราเตอร์ที่ถูก Compromised, เซิร์ฟเวอร์ local network ที่เป็นอันตราย, เครื่องเซิร์ฟเวอร์ DNS ที่ถูกปลอมแปลงข้อมูล หรือการเชื่อมต่อ wireless สาธารณะที่เป็นอันตราย
เมื่อผู้โจมตีอยู่ในตำแหน่งที่ดักควบคุมข้อมูลเครือข่ายได้แล้ว จะต้องรอให้เครื่องเป้าหมายทำการตรวจสอบการเชื่อมต่อเบื้องหลังตามปกติอย่างต่อเนื่อง เพื่อทำให้โค้ดเจาะระบบที่ซ่อนอยู่ถูกสั่งรันโดยอัตโนมัติ
เนื่องจากการประมวลผลที่มีช่องโหว่นี้เกิดขึ้นในระดับเครื่องผู้ใช้ แทนที่จะเป็นระบบเซิร์ฟเวอร์ด่านหน้าที่เชื่อมต่อกับเครือข่ายภายนอก จึงทำให้ส่งผลกระทบครอบคลุมทั้งเครื่องคอมพิวเตอร์ทั่วไป และเครื่องเซิร์ฟเวอร์ขององค์กรด้วยเช่นกัน ซึ่งกลไกในลักษณะนี้หมายความว่า การโจมตีเพื่อขยายผลไปยังระบบอื่น ๆ ภายในเครือข่ายที่ถูกเจาะเข้ามาได้แล้วนั้น สามารถเกิดขึ้นได้อย่างรวดเร็ว หากระบบภายในขององค์กรยังไม่มีการอัปเดตแพตช์เพื่อปิดช่องโหว่
การแก้ไขช่องโหว่ RCE ใน Windows DNS Client
Microsoft ได้แก้ไขช่องโหว่ในรอบการปล่อยอัปเดต Patch Tuesday เมื่อวันที่ 12 พฤษภาคม 2026 โดยการปล่อยอัปเดตแบบ Cumulative Updates ครอบคลุมระบบปฏิบัติการที่ได้รับผลกระทบเป็นวงกว้าง
แนวทางการแก้ไขอย่างเป็นทางการดังกล่าว จะช่วยแก้ไขการทำให้เกิดปัญหา Buffer Overflow โดยครอบคลุมสภาพแวดล้อมระบบที่มีการใช้งานกันอย่างแพร่หลาย ซึ่งรวมถึง Windows 11 เวอร์ชันต่าง ๆ, Windows Server 2022 และ Windows Server 2025
นักวิเคราะห์ด้านความปลอดภัยไซเบอร์แนะนำเป็นอย่างยิ่งให้ติดตั้งแพตช์เหล่านี้ทันที โดยเริ่มต้นจากอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตโดยตรง และอุปกรณ์ที่ต้องเชื่อมต่อกับเครือข่ายภายนอกที่ไม่น่าเชื่อถืออยู่เป็นประจำ
ในกรณีที่ไม่สามารถติดตั้งอัปเดตได้ทันที ผู้ดูแลระบบได้รับการแนะนำให้จำกัดการเชื่อมต่อขาออกอย่างเข้มงวด โดยอนุญาตให้เชื่อมต่อไปยัง DNS Resolvers ที่น่าเชื่อถือเท่านั้น และให้เฝ้าระวังอุปกรณ์อย่างเคร่งครัด เพื่อตรวจหา Child Processes ที่ผิดปกติซึ่งอาจถูกสั่งรันขึ้นมาจาก background network services
ที่มา : Cybersecuritynews
You must be logged in to post a comment.