ช่องโหว่ Zero-Day ที่กำลังถูกใช้โจมตี ได้รับการแก้ไขใน Patch Tuesday ของ Microsoft อัปเดตด่วน!

เมื่อวันอังคารที่ผ่านมา Microsoft ได้ปล่อยแพตช์ด้านความปลอดภัยที่ครอบคลุมช่องโหว่อย่างน้อย 70 รายการในระบบปฏิบัติการ Windows และ software stack และมีช่องโหว่ zero-days จำนวน 5 รายการที่ถูกจัดอยู่ในหมวดกำลังถูกใช้ในการโจมตี

ในส่วนของการอัปเดตตามกำหนดของ Patch Tuesday ทีมตอบสนองด้านความปลอดภัยของ Microsoft แจ้งเตือนว่า แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ใน Microsoft Scripting Engine และ Windows Common Log File System (CLFS) Driver ที่มักตกเป็นเป้าหมายอยู่แล้ว

5 ช่องโหว่ที่กำลังถูกใช้ในการโจมตี

  • CVE-2025-30397 — ช่องโหว่ Memory Corruption ใน Scripting Engine (remote code execution) ทำให้เกิดการเข้าถึงทรัพยากรโดยใช้ประเภทข้อมูลที่ไม่ตรงกัน (‘type confusion’) ใน Microsoft Scripting Engine ช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายผ่านเครือข่ายได้ การโจมตีนี้ต้องให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนคลิกลิงก์เพื่อให้ผู้โจมตีสามารถเริ่มการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้
  • CVE-2025-32709 — ช่องโหว่การยกระดับสิทธิ์ใน Windows Ancillary Function Driver for WinSock เป็นช่องโหว่ในหน่วยความจำแบบ use-after-free ซึ่งทำให้ผู้โจมตีสามารถยกระดับสิทธิ์ได้ในเครื่องแบบ Local ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่นี้ได้สำเร็จทำให้สามารถได้สิทธิ์ของผู้ดูแลระบบ
  • CVE-2025-32706 — ช่องโหว่การยกระดับสิทธิ์ใน Windows Common Log File System Driver Microsoft เป็นช่องโหว่ improper input validation ใน Windows Common Log File System Driver ที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์ได้ในเครื่องแบบ Local
  • CVE-2025-32701— ช่องโหว่การยกระดับสิทธิ์ใน Windows Common Log File System Driver เป็นช่องโหว่ในหน่วยความจำแบบ use-after-free ซึ่งทำให้ผู้โจมตีสามารถยกระดับสิทธิ์ได้ในเครื่องแบบ Local
  • CVE-2025-30400 — ช่องโหว่การยกระดับสิทธิ์ใน Microsoft DWM Core Library เป็นช่องโหว่ use-after-free ใน Windows DWM ซึ่งทำให้ให้ผู้โจมตีสามารถยกระดับสิทธิ์ได้ในเครื่องแบบ Local ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่นี้ได้สำเร็จทำให้สามารถได้สิทธิ์ของ SYSTEM

บริษัทไม่ได้เผยแพร่ IOCs หรือข้อมูล telemetry เพื่อช่วยในการค้นหาการติดมัลแวร์ ข้อมูลเกี่ยวกับเป้าหมาย และเหยื่อของช่องโหว่ Zero-Day ยังคงไม่มีการเปิดเผย

Microsoft ประสบปัญหาในการติดตามผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ใน CLFS ให้ทัน และกำลังทดลองมาตรการรักษาความปลอดภัยใหม่ ๆ เพื่อหยุดยั้งการโจมตีทางไซเบอร์จากกลุ่ม APT และกลุ่มแรนซัมแวร์

บริษัทได้เพิ่ม Hash-based Message Authentication Codes (HMAC) เพื่อตรวจจับการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตใน CLFS log files และปกป้องหนึ่งในช่องทางที่ถูกใช้ในการโจมตีมากที่สุดใน Windows OS

โดยรวมแล้ว Microsoft ได้บันทึกช่องโหว่ด้านความปลอดภัยอย่างน้อย 70 รายการในระบบปฏิบัติการ Windows และส่วนประกอบของซอฟต์แวร์ โดยมีการออกประกาศ 6 รายการที่ถูกจัดอยู่ในหมวด “Critical”

ช่องโหว่ที่มีระดับ critical ที่มีความเสี่ยงในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ส่งผลต่อ Windows Remote Desktop Services (ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายผ่านเครือข่ายได้); Microsoft Office (ช่องโหว่ use-after-free ที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดในเครื่องแบบ Local ได้); และ Microsoft Virtual Machine Bus VMBUS (ช่องโหว่ race condition ที่ช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายผ่านเครือข่ายได้)

ที่มา : securityweek