Patch Tuesday ประจำเดือนพฤศจิกายน 2025 ของ Microsoft อัปเดตความปลอดภัยสำหรับช่องโหว่ 63 รายการ รวมถึงช่องโหว่ zero-day 1 รายการที่กำลังถูกใช้ในการโจมตี
Patch Tuesday ในรอบนี้ได้แก้ไขช่องโหว่ระดับ "Critical" จำนวน 4 รายการ โดยมี 2 รายการเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution), มี 1 รายการเป็นช่องโหว่การยกระดับสิทธิ์ (Elevation of Privilege) และอีก 1 รายการเป็นช่องโหว่การเปิดเผยข้อมูล (Information Disclosure) (more…)
Microsoft ประกาศยืนยันว่า เครื่องมือ Windows 11 Media Creation Tool (MCT) กลับมาใช้งานได้ตามปกติแล้ว บน Windows 10 เวอร์ชัน 22H2 และ Windows 11 เวอร์ชัน 25H2 (more…)
สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) และสำนักงานความมั่นคงแห่งชาติ (NSA) ได้เผยแพร่คำแนะนำเพื่อช่วยผู้ดูแลระบบในการยกระดับความปลอดภัยให้กับ Microsoft Exchange Server บนเครือข่ายของตนเพื่อป้องกันการโจมตี
แนวทางปฏิบัติที่แนะนำ ได้แก่ การยกระดับความปลอดภัยของการ authentication และการเข้าถึงของผู้ใช้, การลด surfaces การโจมตีของแอปพลิเคชัน และการสร้างความแข็งแกร่งของ network encryption
หน่วยงานทั้งสองยังแนะนำให้ผู้ดูแลระบบยุติการใช้งาน Exchange servers แบบ on-premises หรือแบบ hybrid ที่ end-of-life หลังจากเปลี่ยนไปใช้ Microsoft 365 แล้ว เนื่องจากการคง Exchange servers ตัวสุดท้ายไว้ในระบบโดยที่ไม่ได้อัปเดต อาจทำให้องค์กรตกเป็นเป้าของการโจมตี และเพิ่มความเสี่ยงต่อการละเมิดความปลอดภัยอย่างมีนัยสำคัญ
นอกจากนี้ แม้ว่าจะไม่ได้กล่าวถึงในคำแนะนำของ CISA และ NSA แต่การเฝ้าระวังกิจกรรมที่เป็นอันตราย หรือน่าสงสัย และการวางแผนรับมือเหตุการณ์ที่อาจเกิดขึ้น และการกู้คืนข้อมูล ก็มีความสำคัญอย่างยิ่งเช่นกัน ในการลดความเสี่ยงที่เกี่ยวข้องกับ Exchange servers ภายในองค์กร
หน่วยงานทั้งสองกล่าวสรุปในรายงาน โดยมีศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งออสเตรเลีย (ACSC) และศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งแคนาดา (Cyber Centre) เข้าร่วมด้วย โดยระบุว่า "ด้วยการจำกัดสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ, การใช้การยืนยันตัวตนแบบหลายปัจจัย, การบังคับใช้การกำหนดค่าความปลอดภัยการรับส่งข้อมูลที่เข้มงวด และการนำหลักการความปลอดภัยแบบ Zero Trust (ZT) มาใช้ โดยองค์กรต่าง ๆ จะสามารถเสริมสร้างการป้องกันการโจมตีทางไซเบอร์ที่อาจเกิดขึ้นได้อย่างมาก"
"นอกจากนี้ เนื่องจาก Exchange Server บางเวอร์ชันเพิ่งสิ้นสุดอายุการใช้งาน (EOL) หน่วยงานฯ จึงขอแนะนำอย่างยิ่งให้องค์กรต่าง ๆ ดำเนินมาตรการเชิงรุกเพื่อลดความเสี่ยง และป้องกันกิจกรรมที่เป็นอันตราย"
CISA, NSA และพันธมิตร ได้แชร์คำแนะนำด้านความปลอดภัยที่สำคัญกว่า 10 ข้อ สำหรับผู้ดูแลระบบเครือข่าย ซึ่งรวมถึงการอัปเดตเซิร์ฟเวอร์ให้เป็นปัจจุบันอยู่เสมอ, การย้ายระบบจาก Exchange เวอร์ชันที่ไม่รองรับ, การเปิดใช้งานบริการบรรเทาผลกระทบฉุกเฉิน, การเปิดใช้งานฟีเจอร์ป้องกันสแปม และมัลแวร์ในตัว, การจำกัดสิทธิ์การเข้าถึงระดับผู้ดูแลระบบเฉพาะจากส่วนการทำงานที่ได้รับอนุญาต และการใช้มาตรฐานความปลอดภัยพื้นฐาน สำหรับทั้งระบบ Exchange Server และ Windows
หน่วยงานต่าง ๆ ยังแนะนำให้เสริมความแข็งแกร่งของการยืนยันตัวตนด้วยการเปิดใช้งาน MFA, Modern Auth, การใช้ประโยชน์จาก OAuth 2.0, การใช้ Kerberos และ SMB แทน NTLM เพื่อรักษาความปลอดภัยกระบวนการยืนยันตัวตน และการกำหนดค่า Transport Layer Security เพื่อปกป้องความสมบูรณ์ของข้อมูล และ Extended Protection เพื่อป้องกันการโจมตีแบบ Adversary-in-the-Middle (AitM), การโจมตีแบบ relay และ forwarding
องค์กรต่าง ๆ ควรเปิดใช้งาน certificate-based signing สำหรับ Exchange Management Shell และใช้ HTTP Strict Transport Security (HSTS) เพื่อให้มั่นใจว่าการเชื่อมต่อเบราว์เซอร์มีความปลอดภัย นอกจากนี้ องค์กรควรใช้ role-based access control เพื่อจัดการสิทธิ์ของผู้ใช้ และผู้ดูแลระบบ, กำหนดค่า Download Domains เพื่อบล็อกการโจมตีแบบ Cross-Site Request Forgery (CSRF) และเฝ้าระวังความพยายามในการแก้ไข P2 FROM header เพื่อป้องกันการ spoofing sender
คำแนะนำร่วมฉบับนี้ เป็นการต่อยอดจากคำสั่งฉุกเฉิน (ED 25-02) ที่ CISA ออกเมื่อเดือนสิงหาคม 2025 ซึ่งสั่งการให้หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) รักษาความปลอดภัยระบบของตนจากช่องโหว่ระดับความรุนแรงสูงของ Microsoft Exchange แบบ hybrid (CVE-2025-53786) ภายใน 4 วัน
ตามที่ Microsoft เตือนไว้ในขณะนั้น ช่องโหว่นี้ส่งผลกระทบต่อ Microsoft Exchange Server 2016, 2019 และ Subscription Edition โดยเปิดช่องให้ผู้โจมตีที่สามารถเข้าถึงสิทธิ์ผู้ดูแลระบบของ Exchange Server แบบ on-premises สามารถโจมตีต่อไปยังระบบ Cloud ของ Microsoft ได้ ซึ่งอาจนำไปสู่การโจมตีโดเมนทั้งหมด
เพียงไม่กี่วันหลังจากที่ CISA สั่งการให้หน่วยงานรัฐบาลกลางอัปเดตแพตช์เซิร์ฟเวอร์ของตน Shadowserver ซึ่งเป็นองค์กรเฝ้าระวังทางอินเทอร์เน็ต พบว่ายังมีเซิร์ฟเวอร์ Exchange กว่า 29,000 เครื่อง ที่ยังคงเสี่ยงต่อการถูกโจมตีผ่านช่องโหว่ CVE-2025-53786
ในช่วงไม่กี่ปีที่ผ่านมา กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล และกลุ่มที่มีแรงจูงใจทางด้านการเงิน ได้ใช้ประโยชน์จากช่องโหว่ความปลอดภัยของ Exchange หลายรายการเพื่อเจาะระบบเซิร์ฟเวอร์ รวมถึงช่องโหว่แบบ zero-day อย่าง ProxyShell และ ProxyLogon ตัวอย่างเช่น ในเดือนมีนาคม 2021 มีกลุ่มแฮ็กเกอร์อย่างน้อย 10 กลุ่มที่ใช้ประโยชน์จากช่องโหว่ ProxyLogon ซึ่งรวมถึงกลุ่ม Silk Typhoon ซึ่งได้รับการสนับสนุนจากรัฐบาลจีน
ที่มา : bleepingcomputer
สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ได้สั่งให้หน่วยงานรัฐบาลสหรัฐฯ เร่งแก้ไขช่องโหว่ Windows Server Update Services (WSUS) ความรุนแรงระดับ Crtical หลังจาก Microsoft เพิ่มช่องโหว่ดังกล่าวเข้าไปในรายการช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตี
CVE-2025-59287 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Crtical) เป็นช่องโหว่ Remote Code Execution (RCE) ซึ่งหากสามารถโจมตีช่องโหว่ได้สำเร็จ จะส่งผลกระทบต่อ Windows servers ที่เปิดใช้งาน WSUS Server role (เป็นฟีเจอร์ที่ไม่ได้เปิดใช้งานเป็นค่าเริ่มต้น) ซึ่งทำหน้าที่เป็นแหล่งอัปเดตสำหรับเซิร์ฟเวอร์อื่น ๆ ภายในองค์กร
Hacker สามารถใช้ช่องโหว่นี้โจมตีได้จากระยะไกล ในรูปแบบการโจมตีที่ไม่ซับซ้อน ซึ่งไม่จำเป็นต้องมีการโต้ตอบ หรือสิทธิ์พิเศษจากผู้ใช้งาน โดยหากโจมตีได้สำเร็จ ผู้โจมตีจะได้รับสิทธิ์ SYSTEM และเรียกใช้คำสั่งที่เป็นอันตรายได้
หลังจากที่ HawkTrace Security บริษัทรักษาความปลอดภัยไซเบอร์ ได้เผยแพร่ชุดสาธิตการโจมตี Proof-of-Concept(PoC) ทาง Microsoft ก็ได้ออกแพตซ์อัปเดตความปลอดภัยแบบ out-of-band security updates เพื่อแก้ไขช่องโหว่ CVE-2025-59287 บน Windows Server ทุกเวอร์ชันที่ได้รับผลกระทบ และแนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์โดยเร็วที่สุด
ทั้งนี้ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตแพตช์ฉุกเฉินได้ในทันที ควรปิดใช้งาน WSUS Server บนระบบที่มีช่องโหว่ เพื่อป้องกันการโจมตีช่องโหว่ดังกล่าว
ช่องโหว่ CVE-2025-59287 ถูกใช้ในการโจมตีแล้ว
ในวันที่มีการเผยแพร่การอัปเดตความปลอดภัยของช่องโหว่ CVE-2025-59287 บริษัทรักษาความปลอดภัยทางไซเบอร์สัญชาติอเมริกัน Huntress ได้พบหลักฐานการโจมตีช่องโหว่ที่มุ่งเป้าไปที่ WSUS instances ซึ่งใช้งานพอร์ตเริ่มต้น (8530/TCP และ 8531/TCP) ที่ถูกเปิดให้เข้าถึงได้จากอินเทอร์เน็ต
รวมถึง Eye Security บริษัทรักษาความปลอดภัยไซเบอร์สัญชาติเนเธอร์แลนด์ ก็ได้พบการสแกน และโจมตีระบบ หลังจากการเปิดเผยช่องโหว่ โดยระบบของลูกค้าอย่างน้อยหนึ่งรายถูกโจมตีโดยใช้ช่องโหว่ที่แตกต่างจากช่องโหว่ที่ Hawktrace ได้เผยแพร่
หลังจากนั้น Shadowserver ได้ติดตาม WSUS instances กว่า 2,800 รายการที่เปิดพอร์ตเริ่มต้น (8530/TCP และ 8531/TCP) ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต แม้ว่าจะไม่ได้ระบุว่ามี WSUS instances จำนวนเท่าไรที่ได้รับการอัปเดตแพตแล้ว
หน่วยงานรัฐบาลกลางสั่งให้แก้ไขช่องโหว่โดยด่วน
CISA ยังได้เพิ่มช่องโหว่อีกรายการ ซึ่งส่งผลกระทบต่อ Adobe Commerce stores (เดิมคือ Magento) ซึ่งถูกระบุว่าถูกใช้ในการโจมตีในช่วงที่ผ่านมาเช่นกัน
โดย CISA ได้เพิ่มช่องโหว่ทั้งสองรายการลงใน Known Exploited Vulnerabilities catalog ซึ่งแสดงรายการช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตีอยู่จริง
ตามคำสั่งปฏิบัติการ (BOD) 22-01 เดือนพฤศจิกายน 2021 หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลางสหรัฐฯ (FCEB) จะต้องแก้ไขระบบของตนภายในสามสัปดาห์ภายในวันที่ 14 พฤศจิกายน 2025 เพื่อป้องกันการโจมตีช่องโหว่ที่อาจเกิดขึ้น
แม้ว่าข้อกำหนดนี้จะบังคับใช้เฉพาะกับหน่วยงานรัฐบาลสหรัฐฯ เท่านั้น แต่ขอแนะนำให้ผู้ดูแลระบบ และผู้มีส่วนเกี่ยวข้องทุกคนจัดลำดับความสำคัญในการแก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้โดยเร็วที่สุด
CISA แนะนำให้ผู้ดูแลระบบ และผู้มีส่วนเกี่ยวข้องระบุเซิร์ฟเวอร์ที่มีช่องโหว่ทั้งหมด และใช้การอัปเดตความปลอดภัยแบบ out-of-band security updates สำหรับ CVE-2025-59287 หลังจากติดตั้งแล้ว ให้รีบูต WSUS servers เพื่อดำเนินการแก้ไขช่องโหว่ และรักษาความปลอดภัย Windows servers ที่เหลือให้เสร็จสิ้น
ที่มา : bleepingcomputer
Microsoft ระบุว่า File Explorer (ชื่อเดิมคือ Windows Explorer) จะบล็อกการแสดงตัวอย่างไฟล์ที่ดาวน์โหลดจากอินเทอร์เน็ตโดยอัตโนมัติ เพื่อป้องกันการโจมตีจากการขโมยข้อมูล credential ผ่านเอกสารที่เป็นอันตราย
การเปลี่ยนแปลงนี้มีผลแล้วสำหรับผู้ใช้ที่ติดตั้งอัปเดตความปลอดภัย Patch Tuesday ประจำเดือนนี้ บนระบบ Windows 11 และ Windows Server (more…)
Microsoft ออกแพตซ์อัปเดตด้านความปลอดภัยฉุกเฉิน (Out-of-Band - OOB) เพื่อแก้ไขช่องโหว่ระดับ Critical ในส่วนของ Windows Server Update Services (WSUS) ซึ่งมี Proof-of-Concept (PoC) ที่ใช้สำหรับโจมตีถูกเผยแพร่ออกสู่สาธารณะแล้ว (more…)
Microsoft ได้ขัดขวางการโจมตีระลอกใหม่ของ Rhysida ransomware ในช่วงต้นเดือนตุลาคม ด้วยการเพิกถอน certificates กว่า 200 รายการ ที่ถูกใช้เพื่อรับรองตัวติดตั้ง Teams ที่เป็นอันตราย (more…)
เมื่อต้นสัปดาห์ที่ผ่านมา ไมโครซอฟท์ได้ออกแพตช์แก้ไขช่องโหว่ที่ได้รับการจัดอันดับความรุนแรงในระดับ "สูงสุดเท่าที่เคยมีมา" สำหรับช่องโหว่ด้านความปลอดภัยของ ASP.NET Core (more…)
Microsoft ระบุว่า ผู้ใช้งาน Windows 11 สามารถเริ่มต้นการสนทนากับ Copilot ผู้ช่วยที่ขับเคลื่อนด้วย AI ได้แล้ว เพียงแค่พูด Wake word ว่า "Hey Copilot"
(more…)
Patch Tuesday ประจำเดือนตุลาคม 2025 ของ Microsoft มีการออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ทั้งหมด 172 รายการ โดยในจำนวนนี้มีช่องโหว่ Zero-day ที่ถูกใช้ในการโจมตีแล้วรวมอยู่ด้วย 6 รายการ
(more…)