เมื่อวันพุธที่ผ่านมา Microsoft ได้เริ่มปล่อย Security Patch เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 2 รายการบน Defender ซึ่งพบว่ากำลังถูกนำไปใช้ในการโจมตีจริงแบบ Zero-day แล้ว
ช่องโหว่แรก มีหมายเลข CVE-2026-41091 เป็นช่องโหว่ประเภท Privilege Escalation ซึ่งส่งผลกระทบต่อ Microsoft Malware Protection Engine เวอร์ชัน 1.1.26030.3008 และเวอร์ชันก่อนหน้า โดยเป็นกลไกหลักที่ทำหน้าที่สแกน ตรวจจับ และกำจัดภัยคุกคามให้กับซอฟต์แวร์ Antivirus และ Antispyware ของ Microsoft
ช่องโหว่นี้มีสาเหตุมาจากกลไกการแก้ไขลิงก์ที่ไม่ถูกต้องก่อนที่จะมีการเข้าถึงไฟล์ (Link Following) ซึ่งทำให้ผู้โจมตีสามารถเจาะระบบ และยกระดับสิทธิ์ขึ้นเป็นระดับ SYSTEM ได้
ช่องโหว่ที่สอง หมายเลข CVE-2026-45498 ส่งผลกระทบต่อระบบที่ใช้งาน Microsoft Defender Antimalware Platform เวอร์ชัน 4.18.26030.3011 และเวอร์ชันก่อนหน้า ซึ่งเป็นชุดเครื่องมือรักษาความปลอดภัยที่ถูกใช้งานโดย Microsoft's System Center Endpoint Protection, System Center 2012 R2 Endpoint Protection, System Center 2012 Endpoint Protection และ Security Essentials ด้วย
ข้อมูลจาก Microsoft ระบุว่า หากการโจมตีสำเร็จ จะทำให้สามารถเกิดสภาวะ Denial-of-Service (DoS) บนอุปกรณ์ Windows ที่ยังไม่ได้ติดตั้งแพตช์ได้
Microsoft ได้ปล่อยอัปเดต Malware Protection Engine เวอร์ชัน 1.1.26040.8 และ 4.18.26040.7 ตามลำดับ เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยทั้งสองรายการนี้ พร้อมระบุเพิ่มเติมว่าลูกค้าไม่จำเป็นต้องดำเนินการใด ๆ เพื่อรักษาความปลอดภัยของระบบ เนื่องจาก "การตั้งค่าเริ่มต้นในซอฟต์แวร์ป้องกันมัลแวร์ของ Microsoft จะช่วยให้มั่นใจได้ว่า Malware Definitions และ Windows Defender Antimalware Platform จะได้รับการอัปเดตโดยอัตโนมัติ"
อย่างไรก็ตาม ผู้ใช้งานควรตรวจสอบให้แน่ใจว่าการอัปเดต Windows Defender Antimalware Platform และ Malware Definitions ถูกตั้งค่าให้ติดตั้งโดยอัตโนมัติหรือไม่ และควรตรวจสอบการติดตั้งอัปเดตผ่านขั้นตอนต่อไปนี้:
- เปิดโปรแกรม Windows Security (เช่น พิมพ์ "Security" ในช่อง Search bar แล้วเลือกโปรแกรม Windows Security)
- ในหน้าต่างนำทาง (Navigation pane) ให้เลือก Virus & threat protection
- จากนั้นคลิก Protection updates ในส่วนของ Virus & threat protection
- เลือก Check for updates
- ในหน้าต่างนำทาง ให้เลือก Settings จากนั้นเลือก About
- ตรวจสอบหมายเลข Antimalware Client Version การอัปเดตจะถือว่าติดตั้งสำเร็จหากหมายเลขเวอร์ชันของ Malware Protection Platform หรือหมายเลขเวอร์ชันของ Signature Package ตรงกับ หรือสูงกว่าเวอร์ชันที่คุณกำลังพยายามตรวจสอบว่าติดตั้งแล้ว
เมื่อวานนี้ สำนักงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้มีคำสั่งให้หน่วยงานของรัฐบาลทำการยกระดับความปลอดภัยบนระบบ Windows เพื่อป้องกันช่องโหว่ Zero-day ของ Microsoft Defender ทั้งสองรายการนี้ พร้อมแจ้งเตือนว่ากำลังมีการโจมตีผ่านช่องโหว่เหล่านี้อย่างแพร่หลาย
CISA ได้เพิ่มช่องโหว่ดังกล่าวลงใน Known Exploited Vulnerabilities (KEV) Catalog และสั่งการให้หน่วยงานสังกัด Federal Civilian Executive Branch (FCEB) ดำเนินการอัปเดตช่องโหว่บน Windows Endpoints และเซิร์ฟเวอร์ของตนภายในสองสัปดาห์ หรือภายในวันที่ 3 มิถุนายน ตามข้อบังคับ Binding Operational Directive (BOD) 22-01
หน่วยงานด้านความปลอดภัยทางไซเบอร์ของสหรัฐฯ เตือนว่า "ช่องโหว่ประเภทนี้เป็นช่องทางการโจมตีที่ผู้ไม่หวังดีมักใช้ และสร้างความเสี่ยงอย่างร้ายแรงต่อองค์กรของรัฐบาล"
"แนะนำให้ดำเนินการลดผลกระทบตามคำแนะนำของ vendor ปฏิบัติตามคำแนะนำของ BOD 22-01 สำหรับบริการ Cloud ที่เกี่ยวข้อง หรือยุติการใช้งานผลิตภัณฑ์ดังกล่าวหากไม่มีมาตรการแก้ไข"
เมื่อวันอังคารที่ผ่านมา ยังได้เผยแพร่มาตรการแก้ไขสำหรับ YellowKey ซึ่งเป็นช่องโหว่ Zero-day ของ Windows BitLocker ที่เพิ่งถูกค้นพบเมื่อเร็ว ๆ นี้ โดยช่องโหว่ดังกล่าวช่วยให้ผู้โจมตีสามารถเข้าถึงไดรฟ์ที่ถูกเข้ารหัสป้องกันไว้ได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.