Cisco ออกคำเตือนลูกค้าให้รีบอัปเดตแพตช์สำหรับ ช่องโหว่ Zero-Days จำนวน 2 รายการ ที่กำลังถูกใช้ในการโจมตีจริง และส่งผลกระทบต่อ Firewall ของบริษัท (more…)

เมือเดือนพฤษภาคม 2025 Cisco และ Cybersecurity and Infrastructure Security Agency (CISA) ตรวจพบการโจมตีด้วยช่องโหว่ Zero-Days บนอุปกรณ์ Adaptive Security Appliance (ASA) 5500-X Series ของหน่วยงานรัฐบาลสหรัฐอเมริกา โดยเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) เพื่อติดตั้ง Malware บนอุปกรณ์ และขโมยข้อมูลออกจากอุปกรณ์ที่โดนโจมตี ในบางกรณีผู้โจมตีได้มีการแก้ไข ROMMON เพื่อให้ยังสามารถเข้าถึงอุปกรณ์แม้มีการ Reboot หรืออัปเดต Software แล้ว (more…)

Microsoft ออก Patch Tuesday ประจำเดือนพฤษภาคม 2025 โดยแก้ไขช่องโหว่ 72 รายการ ซึ่งรวมถึงช่องโหว่ Zero-Days 5 รายการ ที่พบหลักฐานว่ากำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน และช่องโหว่ Zero-Days ที่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะ 2 รายการ

โดย Patch Tuesday ประจำเดือนพฤษภาคม 2025 มีการแก้ไขช่องโหว่ระดับ Critical จำนวน 6 รายการ ซึ่งเป็นช่องโหว่ Remote Code Execution 5 รายการ และช่องโหว่ Information Disclosure 1 รายการ

ช่องโหว่ในแต่ละประเภทมีดังต่อไปนี้ :

ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) 17 รายการ
ช่องโหว่การ Bypass คุณสมบัติด้านความปลอดภัย (Security Feature Bypass) 2 รายการ
ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 28 รายการ
ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 15 รายการ
ช่องโหว่ที่ทำให้เกิด DoS (Denial of Service) 7 รายการ
ช่องโหว่ของการปลอมแปลง (Spoofing) 2 รายการ

ทั้งนี้ไม่รวมช่องโหว่ Azure, Dataverse, Mariner และ Microsoft Edge ที่ได้รับการแก้ไขในเดือนพฤษภาคม 2025

5 ช่องโหว่ Zero-Days ที่พบว่ากำลังถูกใช้ในการโจมตี

Patch Tuesday ประจำเดือนพฤษภาคม 2025 มีการแก้ไขช่องโหว่ Zero-days โดยเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตี 5 รายการ

Microsoft จัดประเภทช่องโหว่ Zero-Days ว่าเป็นช่องโหว่ที่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะ หรือเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีในขณะที่ยังไม่มีการแก้ไขอย่างเป็นทางการ

CVE-2025-30400 - Microsoft DWM Core Library Elevation of Privilege Vulnerability

Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ที่ทำให้ Hacker ได้รับสิทธิ์ SYSTEM ที่เกิดจากช่องโหว่ Use after free ใน Windows DWM โดย Microsoft ระบุว่า Microsoft Threat Intelligence Center เป็นผู้ค้นพบช่องโหว่นี้

CVE-2025-32701 - Windows Common Log File System Driver Elevation of Privilege Vulnerability

Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ที่ทำให้ Hacker ได้รับสิทธิ์ SYSTEM ที่เกิดจากช่องโหว่ Use after free ใน Windows Common Log File System Driver โดย Microsoft ระบุว่า Microsoft Threat Intelligence Center เป็นผู้ค้นพบช่องโหว่นี้

CVE-2025-32706 - Windows Common Log File System Driver Elevation of Privilege Vulnerability

Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ที่ทำให้ Hacker ได้รับสิทธิ์ SYSTEM ที่เกิดจากช่องโหว่ input validation ใน Windows Common Log File System Driver โดย Microsoft ระบุว่า Benoit Sevens จาก Google Threat Intelligence Group และ CrowdStrike Advanced Research Team เป็นผู้ค้นพบช่องโหว่นี้

CVE-2025-32709 - Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability

Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ที่ทำให้ Hacker ได้รับสิทธิ์ SYSTEM ที่เกิดจากช่องโหว่ Use after free ใน Windows Ancillary Function Driver สำหรับ WinSock โดย Microsoft ระบุว่าช่องโหว่ดังกล่าวถูกค้นพบโดยนักวิจัย "Anonymous (ไม่เปิดเผยชื่อ)"

CVE-2025-30397 - Scripting Engine Memory Corruption Vulnerability

Microsoft ได้แก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ที่ Hacker สามารถโจมตีผ่าน Microsoft Edge หรือ Internet Explorer ที่เกิดจากช่องโหว่การเข้าถึงทรัพยากรโดยใช้ประเภทที่ไม่เข้ากัน ('type confusion') ใน Microsoft Scripting Engine

โดย Hacker จะต้องหลอกล่อให้ผู้ใช้งานที่ผ่านการยืนยันตัวตน คลิกลิงก์ที่สร้างขึ้นมาเป็นพิเศษใน Edge หรือ Internet Explorer เพื่อให้ Hacker ที่ไม่ผ่านการยืนยันตัวตนสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ โดย Microsoft ระบุว่า Microsoft Threat Intelligence Center เป็นผู้ค้นพบช่องโหว่นี้

ทั้งนี้ Microsoft ยังไม่ได้เปิดเผยรายละเอียดใด ๆ เกี่ยวกับวิธีการที่ช่องโหว่เหล่านี้ถูกนำไปใช้ในการโจมตี

ช่องโหว่ Zero-Days ที่ถูกเปิดเผยออกสู่สาธารณะ

CVE-2025-26685 - Microsoft Defender for Identity Spoofing Vulnerability

Microsoft แก้ไขช่องโหว่ใน Microsoft Defender ซึ่งทำให้สามารถโจมตีได้โดยไม่ต้องผ่านการยืนยันตัวตน เพื่อปลอมแปลงบัญชีอื่นได้ ซึ่งเกิดจากการตรวจสอบสิทธิ์ที่ไม่เหมาะสมใน Microsoft Defender for Identity

ช่องโหว่ดังกล่าวทำให้ Hacker ที่ไม่ต้องผ่านการยืนยันตัวตน สามารถเข้าถึงได้ผ่านการเข้าถึง LAN โดย Microsoft ระบุว่า Joshua Murrell จาก NetSPI เป็นผู้ค้นพบช่องโหว่นี้

CVE-2025-32702 - Visual Studio Remote Code Execution Vulnerability

Microsoft แก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ซึ่งทำให้ Hacker ที่ไม่ต้องผ่านการยืนยันตัวตน สามารถโจมตีผ่าน Visual Studio ได้ โดยเกิดจากการจัดการ special elements อย่างไม่เหมาะสมใน command ('command injection')

Microsoft ยังไม่ได้เปิดเผยว่าใครเป็นผู้ค้นพบช่องโหว่นี้

การอัปเดตด้านความปลอดภัยจากบริษัทอื่น ๆ

นอกจาก Microsoft ได้ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนพฤษภาคม 2025 แล้ว ยังมีบริษัทอื่น ๆ ที่ออกแพตซ์อัปเดตด้านความปลอดภัยเช่นกัน ได้แก่ :

Apple ออกแพตซ์อัปเดตความปลอดภัยสำหรับ iOS, iPadOS และ macOS
Cisco ออกแพตซ์อัปเดตช่องโหว่ระดับ Critical ในซอฟต์แวร์ IOS XE สำหรับ Wireless LAN Controllers
Fortinet ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์จำนวนมาก รวมถึงการโจมตีช่องโหว่ Zero-Day ที่ถูกใช้ในการโจมตี FortiVoice
Google ออกแพตซ์อัปเดตด้านความปลอดภัยประจำเดือนพฤษภาคม 2025 สำหรับ Android โดยแก้ไขช่องโหว่ zero-click FreeType 2 code execution ที่กำลังถูกใช้ในการโจมตี
Intel เปิดเผย CPU microcodes สำหรับช่องโหว่ชื่อ "Branch Privilege Injection" ซึ่งรั่วไหลข้อมูลจาก privileged memory
SAP ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ รวมถึงช่องโหว่ RCE ระดับ Critical
SonicWall ออกแพตซ์อัปเดตแก้ไขช่องโหว่ Zero-Day ที่กำลังถูกนำไปใช้ในการโจมตี

ที่มา : bleepingcomputer

Broadcom แจ้งเตือนลูกค้าในวันนี้ (4 มีนาคม 2025) เกี่ยวกับช่องโหว่ Zero-days 3 รายการของ VMware ซึ่งถูกระบุว่ากำลังถูกนำมาใช้ในการโจมตี และได้รับการรายงานจาก Microsoft Threat Intelligence Center

ช่องโหว่ CVE-2025-22224, CVE-2025-22225 และ CVE-2025-22226 ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ VMware ESX รวมถึง VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation, และ Telco Cloud Platform

ผู้โจมตีที่มีสิทธิ์เข้าถึงในระดับผู้ดูแลระบบ หรือ root สามารถใช้ช่องโหว่เหล่านี้ร่วมกันเพื่อหลีกเลี่ยงการควบคุมของ sandbox ของ Virtual Machine ได้

บริษัทได้อธิบายในวันนี้ว่า "เหตุการร์นี้เป็นสถานการณ์ที่ผู้โจมตีที่บุกรุก guest OS ของ Virtual Machine และได้รับสิทธิ์การเข้าถึงระดับสูง (ผู้ดูแลระบบ หรือ root) อาจทำให้สามารถเข้าควบคุม hypervisor ได้ โดยมีข้อมูลที่เชื่อได้ว่ากำลังมีการโจมตีโดยใช้ช่องโหว่นี้อยู่จริง ๆ"

Broadcom ระบุว่า CVE-2025-22224 เป็นช่องโหว่ VCMI heap overflow ที่มีความรุนแรงระดับ Critical ซึ่งสามารถทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบใน VM ที่ถูกโจมตี สามารถรันโค้ดใน VMX process ที่ทำงานบนโฮสต์ได้

CVE-2025-22225 เป็นช่องโหว่การเขียนข้อมูลโดยพลการใน ESXi ที่สามารถทำให้ VMX process สามารถเรียกการเขียนคอร์เนลโดยพลการ ซึ่งนำไปสู่การ escape จาก sandbox ได้ ในขณะที่ CVE-2025-22226 ถูกอธิบายว่าเป็นช่องโหว่ในการเปิดเผยข้อมูลของ HGFS ที่ทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบสามารถทำให้ข้อมูลรั่วไหลจาก VMX process ได้

ช่องโหว่ของ VMware มักถูกโจมตีโดยกลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับแรนซัมแวร์ และกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล เนื่องจาก VMware ถูกใช้กันอย่างแพร่หลายในปฏิบัติการรเพื่อเก็บ หรือถ่ายโอนข้อมูลที่สำคัญขององค์กร

ล่าสุด Broadcom ได้ออกคำเตือนในเดือนพฤศจิกายน 2024 ว่า ผู้โจมตีได้มีการใช้ประโยชน์จากช่องโหว่ใน VMware vCenter Server สองรายการที่ได้รับการแก้ไขไปแล้วในเดือนกันยายน 2024 หนึ่งในนั้นสามารถทำให้มีการยกระดับสิทธิ์เป็น root (CVE-2024-38813) ขณะที่อีกช่องโหว่เป็นช่องโหว่ระดับ Critical ในการรันโค้ดที่เป็นอันตรายจากระยะไกล (CVE-2024-38812) ซึ่งถูกพบในระหว่างการแข่งขัน Matrix Cup hacking 2024 ของจีนในปี 2024

ในเดือนมกราคม 2024 Broadcom ยังได้เปิดเผยว่าแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนได้ใช้ช่องโหว่ระดับ Critical ใน vCenter Server (CVE-2023-34048) เป็นช่องโหว่แบบ zero-day มาตั้งแต่ปลายปี 2021 เป็นอย่างน้อย เพื่อติดตั้ง VirtualPita และ VirtualPie backdoors บนโฮสต์ ESXi ที่มีช่องโหว่

ที่มา : bleepingcomputer

Microsoft ออก Patch Tuesday ประจำเดือนกุมภาพันธ์ 2025 โดยแก้ไขช่องโหว่ 55 รายการ ซึ่งรวมถึงช่องโหว่ Zero-days 4 รายการ โดยมีช่องโหว่ Zero-days 2 รายการ ที่พบหลักฐานว่ากำลังถูกนำมาใช้ในการโจมตี
Patch Tuesday ประจำเดือนกุมภาพันธ์ 2025 มีการแก้ไขช่องโหว่ระดับ Critical จำนวน 3 รายการ ซึ่งเป็นช่องโหว่ Remote Code Execution ทั้งหมด (more…)

CISA ระบุว่าช่องโหว่ command injection (CVE-2024-12686) ใน Privileged Remote Access (PRA) และ Remote Support (RS) ของ BeyondTrust กำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่องอยู่ในปัจจุบัน

ตามข้อกำหนด Binding Operational Directive (BOD) 22-01 หลังจากที่ช่องโหว่ได้ถูกเพิ่มเข้าไปใน Known Exploited Vulnerabilities catalog ของ CISA หน่วยงานของรัฐบาลกลางสหรัฐฯ จะต้องทำการแก้ไข รวมถึงรักษาความปลอดภัยเครือข่ายของตนจากการโจมตีที่มุ่งเป้าไปที่ช่องโหว่ดังกล่าวภายในสามสัปดาห์ หรือภายในวันที่ 3 กุมภาพันธ์ 2025

รวมถึง CISA ยังได้เพิ่มรายการช่องโหว่ command injection (CVE-2024-12356) อีกรายการที่มีความรุนแรงระดับ Critical ในผลิตภัณฑ์เดียวกันของ BeyondTrust ด้วย

BeyondTrust พบช่องโหว่ทั้ง 2 รายการ ในขณะที่กำลังสืบสวนเหตุการณ์โจมตี Remote Support SaaS instances บางส่วนในช่วงต้นเดือนธันวาคม โดย Hacker ได้ขโมย API key ออกไป ซึ่งต่อมาถูกนำไปใช้เพื่อรีเซ็ตรหัสผ่านสำหรับบัญชี local application

แม้ว่าการเปิดเผยข้อมูลของ BeyondTrust ในเดือนธันวาคม 2024 จะไม่ได้กล่าวถึงเรื่องนี้โดยตรง แต่คาดว่า Hacker น่าจะใช้ช่องโหว่ทั้ง 2 รายการเป็น Zero Days ในการโจมตีเข้าสู่ระบบของ BeyondTrust เพื่อเข้าถึงเครือข่ายของลูกค้า

ในช่วงต้นเดือนมกราคม 2025 กระทรวงการคลังเปิดเผยว่าเครือข่ายของกระทรวงถูกโจมตี โดยใช้รหัส API SaaS ของ Remote Support ที่ขโมยมาเพื่อเจาะระบบ BeyondTrust ที่หน่วยงานใช้งานอยู่

ตั้งแต่นั้นมา การโจมตีช่องโหว่ดังกล่าวก็ถูกเชื่อมโยงกับกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลจีนในชื่อ Silk Typhoon ซึ่งเป็นที่รู้จักในด้านการโจมตีเพื่อขโมยข้อมูล และกลายเป็นที่รู้จักอย่างกว้างขวางหลังจากโจมตีเซิร์ฟเวอร์ไปแล้วประมาณ 68,500 ระบบในช่วงต้นปี 2021 โดยใช้ช่องโหว่ Zero-Days ของ Microsoft Exchange Server ProxyLogon

โดยกลุ่ม Hacker ได้มุ่งเป้าไปที่สำนักงานควบคุมทรัพย์สินต่างประเทศ (OFAC) โดยเฉพาะ ซึ่งเป็นหน่วยงานที่ดูแลโครงการคว่ำบาตรทางการค้า และเศรษฐกิจ และคณะกรรมการการลงทุนจากต่างประเทศในสหรัฐอเมริกา (CFIUS) ซึ่งตรวจสอบการลงทุนจากต่างประเทศเพื่อตรวจสอบความเสี่ยงต่อความมั่นคงของชาติ รวมถึงยังได้โจมตีระบบของสำนักงานวิจัยการเงินของกระทรวงการคลัง แต่ผลกระทบของเหตุการณ์นี้ยังอยู่ระหว่างการประเมิน เชื่อกันว่า Silk Typhoon ได้ใช้ BeyondTrust digital key ที่ขโมยมาเพื่อเข้าถึงข้อมูลที่ไม่เป็นความลับที่เกี่ยวข้องกับการดำเนินการคว่ำบาตรที่อาจเกิดขึ้นและเอกสารอื่น ๆ

BeyondTrust ระบุว่า ได้ติดตั้งแพตช์ด้านความปลอดภัยสำหรับช่องโหว่ CVE-2024-12686 และ CVE-2024-12356 บน cloud instances ทั้งหมดเรียบร้อยแล้ว อย่างไรก็ตามผู้ที่ใช้งานอินสแตนซ์ที่โฮสต์ด้วยตนเองจะต้องติดตั้งแพตช์อัปเดตด้วยตนเอง

อย่างไรก็ตาม คำแนะนำด้านความปลอดภัยที่ออกเมื่อธันวาคม 2024 ของ BeyondTrust ยังไม่ได้ระบุว่าช่องโหว่ด้านความปลอดภัยทั้ง 2 รายการนี้ได้ถูกนำไปใช้ในการโจมตี

ที่มา : bleepingcomputer.

Palo Alto Networks เผยแพร่แพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่แบบ Zero-Days ที่กำลังถูกใช้ในการโจมตี 2 รายการใน Next-Generation Firewalls (NGFW) (more…)

Microsoft ออก Patch Tuesday ประจำเดือนพฤศจิกายน 2024 โดยแก้ไขช่องโหว่ 91 รายการ รวมถึงช่องโหว่ zero-days 4 รายการ ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย (more…)

แฮ็กเกอร์เกาหลีเหนือได้ใช้ช่องโหว่ Google Chrome (CVE-2024-7971) ในการติดตั้ง FudModule rootkit เพื่อให้ได้สิทธิ์ SYSTEM และโจมตีผ่าน Windows Kernel โดยช่องโหว่นี้เพิ่งได้รับการแก้ไขไปเมื่อไม่นานมานี้ (more…)

Microsoft แก้ไขช่องโหว่ด้านความปลอดภัยใหม่ทั้งหมด 61 รายการ โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ในเดือนพฤษภาคม 2024 ซึ่งรวมถึง Zero-Days 2 รายการที่กำลังถูกนำมาใช้ในการโจมตี (more…)