นักวิจัยด้านความปลอดภัยได้ปล่อยโค้ด exploit สำหรับช่องโหว่ zero-day ตัวใหม่บน Microsoft Defender ในชื่อ "RoguePlanet" เพียงไม่กี่ชั่วโมงหลังจาก Microsoft เพิ่งออกอัปเดต Patch Tuesday ในเดือนมิถุนายน 2026

นักวิจัยที่ใช้นามแฝงว่า Nightmare Eclipse ระบุว่า ช่องโหว่ใหม่นี้ส่งผลกระทบต่ออุปกรณ์ Windows 10 และ Windows 11 ที่อัปเดตแพตช์ล่าสุดแล้ว โดยช่วยให้ผู้โจมตีสามารถเปิด command prompt ที่มีสิทธิ์ระดับ SYSTEM ผ่านช่องโหว่ประเภท race condition บน Microsoft Defender ได้

นักวิจัยได้แชร์โค้ด POC เมื่อบ่ายวันอังคารที่ผ่านมาใน self-hosted Git repository หลังจากระบุว่าคลังเก็บซอร์สโค้ด (Repository) บน GitHub และ GitLab ที่เคยโฮสต์ของพวกเขาได้ถูก Microsoft ลบออกไปก่อนหน้านี้

Nightmare Eclipse เขียนไว้ใน repository ว่า "การโจมตีนี้เป็นแบบ race condition ดังนั้นผลลัพธ์จึงมีทั้งสำเร็จ และล้มเหลว แต่สามารถทำให้ประสบความสำเร็จได้ถึง 100% บนคอมพิวเตอร์บางเครื่อง ในขณะที่บางเครื่องก็รันได้ค่อนข้างลำบาก"

มีรายงานว่าช่องโหว่นี้ได้รับการทดสอบกับ Windows 11 เวอร์ชัน Official และ Canary รวมถึงระบบ Windows 10 ที่ติดตั้ง security updates รอบเดือนมิถุนายน 2026 แล้ว

เมื่อการโจมตีสำเร็จ command prompt จะถูกเปิดขึ้นมาพร้อมสิทธิ์ระดับ SYSTEM

บริษัท ThreatLocker เปิดเผยกับ BleepingComputer ว่า พวกเขาสามารถทดสอบ และทำซ้ำ exploit นี้ได้สำเร็จ และยืนยันว่าโค้ดโจมตีนี้ทำงานได้จริงบนระบบ Windows 11 ที่อัปเดตแพตช์ KB5094126 เรียบร้อยแล้ว พร้อมทั้งแชร์วิดีโอสาธิตการทำงาน

Danny Jenkins CEO ของ ThreatLocker ให้ข้อมูลกับ BleepingComputer ว่า "การวิเคราะห์เบื้องต้นของเรายืนยันว่า การโจมตี RoguePlanet นั้นใช้งานได้จริง และทำงานตามที่อธิบายไว้ องค์กรที่ใช้ระบบ application allowlisting สามารถป้องกันไม่ให้โค้ดโจมตีนี้ทำงานได้ ซึ่งถือเป็นเลเยอร์การป้องกันที่มีประสิทธิภาพต่อการโจมตีนี้"

ข้อมูลจาก Nightmare Eclipse ระบุว่า เดิมที RoguePlanet ถูกพัฒนาขึ้นมาในฐานะช่องโหว่ประเภท RCE ที่ใช้ประโยชน์จากการที่ Microsoft Defender จัดการกับไฟล์ที่โฮสต์อยู่บน remote SMB shares

นักวิจัยอธิบายในบล็อกโพสต์ว่า "ในการพัฒนาช่วงแรก ได้รับการยืนยันแล้วว่าช่องโหว่นี้คือ RCE มันต้องการให้ผู้โจมตีล่อให้เหยื่อเปิดไฟล์ .vhd ใน remote SMB server ซึ่งหากโจมตีสำเร็จจะส่งผลให้ Defender เขียนทับไฟล์ของตัวเอง และผลลัพธ์สุดท้ายก็คือ RCE อย่างชัดเจน"

นักวิจัยระบุว่า อีกสถานการณ์หนึ่งของการโจมตีอาจนำไปสู่ RCE ได้ง่าย ๆ เพียงแค่ล่อให้เหยื่อเปิด SMB share หากมีการเปิดใช้งานการตั้งค่า symlink evaluation ไว้

อย่างไรก็ตาม นักวิจัยอ้างว่า Microsoft ได้แอบทำการเสริมความแข็งแกร่งให้กับ Defender ในช่วงกลางเดือนพฤษภาคม โดยการแพตช์ API "mpengine!SysIO*" ซึ่งบล็อกการโจมตีแบบ junction attacks ไว้

นักวิจัยระบุว่า "การเขียนโค้ด RoguePlanet ใหม่เพื่อให้ใช้งานได้อีกครั้งนั้นต้องใช้ความพยายามอย่างมาก และไม่สามารถทำสถานการณ์การโจมตีรูปแบบอื่นให้เสร็จสมบูรณ์ได้ ในตอนนี้จึงยังไม่ชัดเจนว่า RoguePlanet จะถูกจำกัดอยู่แค่ LPE (Local Privilege Escalation) หรือจะมีวิธีบางอย่างในการเปลี่ยนมันให้เป็น RCE"

การปล่อยโค้ดโจมตีครั้งนี้เป็นส่วนหนึ่งของข้อพิพาทที่กำลังดำเนินอยู่ระหว่าง Nightmare Eclipse และ Microsoft เกี่ยวกับแนวทางการเปิดเผยช่องโหว่ และโครงการ bug bounty ของบริษัท

ในช่วงหลายเดือนที่ผ่านมา นักวิจัยรายนี้ได้เปิดเผยช่องโหว่ zero-days ของ Windows ออกสู่สาธารณะหลายตัว ซึ่งรวมถึงช่องโหว่ BlueHammer, RedSun, GreenPlasma และ YellowKey โดย zero-days บางตัวมีเป้าหมายที่ Microsoft Defender ในขณะที่ตัวอื่น ๆ มุ่งเป้าไปที่ BitLocker และส่วนประกอบของ Windows

Microsoft ได้แก้ไขช่องโหว่ GreenPlasma และ YellowKey ในวันนี้ โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ในเดือนมิถุนายน 2026

ก่อนหน้านี้ Microsoft เคยตอบโต้การเปิดเผยข้อมูลดังกล่าวด้วยการแจ้งเตือนว่าจะร่วมมือกับหน่วยงานบังคับใช้กฎหมายเมื่อมีผู้ทำ "กิจกรรมที่เป็นอันตรายซึ่งก่อให้เกิดความเสียหายจริงต่อลูกค้า" ซึ่งทำให้หลายคนในชุมชน Cyber Security มองว่า Microsoft กำลังข่มขู่นักวิจัย

Nightmare Eclipse อ้างว่า Microsoft มุ่งเป้า และลบ repository ก่อนหน้านี้ที่โฮสต์บน GitHub และ GitLab ซ้ำ ๆ ส่งผลให้ต้องสร้างแพลตฟอร์มโค้ดที่โฮสต์เองขึ้นมาที่ projectnightcrawler[.]dev

อัปเดต 10-06-2026 :

หลังจากเผยแพร่เรื่องนี้ Microsoft แจ้งกับ BleepingComputer ว่า พวกเขาทราบถึงช่องโหว่ที่ถูกรายงาน และกำลังตรวจสอบอยู่ โดยโฆษกของไมโครซอฟต์ให้ข้อมูลกับ BleepingComputer ว่า “Microsoft รับทราบถึงช่องโหว่ที่ถูกรายงาน และกำลังตรวจสอบความถูกต้อง และความเป็นไปได้ที่จะเกิดผลกระทบจากข้อกล่าวอ้างเหล่านี้อย่างจริงจัง บริษัทมุ่งมั่นที่จะตรวจสอบปัญหาด้านความปลอดภัย และอัปเดตผลิตภัณฑ์ที่ได้รับผลกระทบเพื่อปกป้องลูกค้าโดยเร็วที่สุด” “ที่สำคัญ เราสนับสนุนการเปิดเผยช่องโหว่แบบประสานงาน ซึ่งเป็นมาตรฐานอุตสาหกรรมที่ปกป้องลูกค้า และสนับสนุนชุมชนนักวิจัยโดยการรับรองว่าผลการค้นพบของพวกเขาได้รับการตรวจสอบ และแก้ไขอย่างละเอียดก่อนที่จะถูกเผยแพร่ออกสู่สาธารณะ”

 

ที่มา : bleepingcomputer.