เทคโนโลยี

ช่องโหว่ Zero-day บน Windows กำลังถูกโจมตีจริง: สิ่งที่คุณต้องรู้และรับมือ

แฮกเกอร์กำลังใช้ช่องโหว่ Zero-day บน Windows เพื่อยกระดับสิทธิ์ใน Microsoft Defender เรียนรู้ BlueHammer, RedSun และวิธีป้องกันระบบของคุณจากภัยคุกคาม

ทีมงาน devdog

ทีมงาน devdog

1 min read
ช่องโหว่ Zero-day บน Windows กำลังถูกโจมตีจริง: สิ่งที่คุณต้องรู้และรับมือ

ในโลกไซเบอร์ที่ภัยคุกคามเปลี่ยนแปลงอยู่เสมอ ข่าวสารด้านความปลอดภัยเป็นสิ่งที่ไม่ควรมองข้าม โดยเฉพาะอย่างยิ่งเมื่อมีการเปิดเผยช่องโหว่ Zero-day ที่กำลังถูกนำไปใช้ในการโจมตีจริงกับระบบปฏิบัติการยอดนิยมอย่าง Windows ล่าสุด นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่สำคัญหลายรายการที่ส่งผลกระทบต่อ Microsoft Defender ซึ่งเป็นเครื่องมือป้องกันไวรัสพื้นฐานของ Windows และที่น่ากังวลคือบางส่วนกำลังถูกใช้เป็นช่องทางในการยกระดับสิทธิ์ของแฮกเกอร์ไปถึงระดับสูงสุดอย่าง SYSTEM

Zero-day คืออะไร และทำไมถึงอันตราย?

ช่องโหว่ Zero-day หมายถึงช่องโหว่ด้านความปลอดภัยที่ผู้พัฒนายังไม่ทราบหรือยังไม่มีแพตช์แก้ไขอย่างเป็นทางการ เมื่อมีการเปิดเผยรายละเอียดของช่องโหว่เหล่านี้ออกมา แฮกเกอร์จะมี "ศูนย์วัน" (Zero-day) ในการพัฒนาและใช้ประโยชน์จากช่องโหว่นั้นก่อนที่ผู้พัฒนาจะสามารถออกแพตช์ได้ ทำให้เป็นภัยคุกคามที่รุนแรงและรับมือได้ยากเป็นพิเศษ

เปิดโปงช่องโหว่โดย "Chaotic Eclipse"

นักวิจัยด้านความปลอดภัยที่รู้จักกันในนาม "Chaotic Eclipse" หรือ "Nightmare-Eclipse" ได้ออกมาเปิดเผย Proof-of-Concept (PoC) ของช่องโหว่ Windows Zero-day จำนวน 3 รายการ ซึ่งเป็นการประท้วงต่อวิธีการรับมือกระบวนการเปิดเผยช่องโหว่ของ Microsoft Security Response Center (MSRC) ช่องโหว่เหล่านี้ประกอบด้วย:

  • BlueHammer: ช่องโหว่ Local Privilege Escalation (LPE) ใน Microsoft Defender ที่ช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์ได้
  • RedSun: ช่องโหว่ LPE อีกตัวใน Microsoft Defender ที่รุนแรงยิ่งกว่า สามารถยกระดับสิทธิ์เป็นระดับ SYSTEM ได้
  • UnDefend: ช่องโหว่ที่ผู้ใช้มาตรฐานสามารถใช้เพื่อบล็อกการอัปเดตนิยามของ Microsoft Defender ได้
ภาพประกอบ

ช่องโหว่กำลังถูกใช้โจมตีจริง

เมื่อวันพฤหัสบดีที่ผ่านมา นักวิจัยจาก Huntress Labs ได้รายงานว่าพบช่องโหว่ Zero-day ทั้งสามรายการกำลังถูกนำไปใช้ในการโจมตีจริง โดยเฉพาะช่องโหว่ BlueHammer ที่ถูกตรวจพบว่ามีการเริ่มใช้งานมาตั้งแต่วันที่ 10 เมษายน นอกจากนี้ ช่องโหว่ UnDefend และ RedSun ก็ถูกพบว่ามีการใช้งานบนอุปกรณ์ Windows ที่ถูกโจมตีผ่านบัญชีผู้ใช้ SSLVPN ซึ่งบ่งชี้ถึงการโจมตีที่ผู้โจมตีดำเนินการด้วยตนเอง

RedSun: ช่องโหว่ที่น่ากังวลเป็นพิเศษ

สิ่งที่น่ากังวลอย่างยิ่งคือช่องโหว่ RedSun ซึ่งนักวิเคราะห์ช่องโหว่ระดับสูง Will Dormann จาก Tharros ได้ยืนยันว่าสามารถทำงานได้จริงและทำให้ผู้โจมตีได้รับสิทธิ์ระดับ SYSTEM บน Windows 10, Windows 11 และ Windows Server 2019 รวมถึงเวอร์ชันที่ใหม่กว่า แม้ว่าจะติดตั้ง Patch Tuesday ประจำเดือนเมษายนไปแล้วก็ตาม

ช่องโหว่นี้อาศัยพฤติกรรมผิดปกติของ Windows Defender เมื่อตรวจพบไฟล์อันตรายที่มี "Cloud Tag" โดยแทนที่จะลบหรือกักกันไฟล์ Defender กลับตัดสินใจเขียนทับไฟล์นั้นกลับลงไปที่ตำแหน่งเดิม ซึ่ง PoC ได้ฉวยโอกาสจากจุดนี้ในการเปลี่ยนเส้นทางการเขียนทับไปที่ไฟล์ระบบสำคัญเพื่อยกระดับสิทธิ์ กลายเป็นช่องทางให้ผู้โจมตีสามารถรันโค้ดด้วยสิทธิ์สูงสุดได้

ภาพประกอบ

Microsoft กับความท้าทายด้านความปลอดภัย

ปัจจุบัน Microsoft ได้ดำเนินการแก้ไขช่องโหว่ BlueHammer ภายใต้หมายเลข CVE-2026-33825 ในการอัปเดตความปลอดภัยประจำเดือนเมษายน 2026 แล้ว แต่ทว่าอีกสองช่องโหว่ที่เหลือ ได้แก่ RedSun และ UnDefend นั้นยังไม่ได้รับการแก้ไขอย่างเป็นทางการ สถานการณ์นี้เกิดขึ้นในขณะที่ Microsoft เองกำลังดำเนินโครงการด้านความปลอดภัยไซเบอร์ "Secure Future Initiative (SFI)" และจัดงาน "Zero Day Quest 2026" ซึ่งล่าสุดมีการจ่ายเงินรางวัลรวม 2.3 ล้านดอลลาร์ให้กับนักวิจัยที่พบช่องโหว่เกือบ 700 รายการ รวมถึงช่องโหว่ร้ายแรงบน Cloud และ AI กว่า 80 รายการ แสดงให้เห็นถึงความพยายามของ Microsoft ในการเสริมสร้างความปลอดภัยแม้จะต้องเผชิญกับความท้าทายจากช่องโหว่ที่กำลังถูกโจมตีจริง

คำแนะนำสำหรับการรับมือ

ในฐานะผู้ใช้งานและผู้ดูแลระบบ นี่คือสิ่งที่คุณควรทำเพื่อปกป้องระบบของคุณ:

  • อัปเดตระบบปฏิบัติการ: ตรวจสอบให้แน่ใจว่าระบบ Windows ของคุณได้รับการอัปเดตแพตช์ล่าสุดอยู่เสมอ แม้ว่า RedSun จะเลี่ยงแพตช์บางตัวได้ แต่การอัปเดตก็ยังเป็นแนวปฏิบัติที่ดีที่สุดในการป้องกันช่องโหว่อื่นๆ และ BlueHammer ที่ได้รับการแก้ไขแล้ว
  • ตรวจสอบและเฝ้าระวัง: ตรวจสอบบันทึกการรักษาความปลอดภัย (security logs) อย่างสม่ำเสมอเพื่อหาพฤติกรรมที่น่าสงสัย หรือการเข้าถึงสิทธิ์ที่ไม่พึงประสงค์
  • ใช้โซลูชันความปลอดภัยเพิ่มเติม: พิจารณาใช้โปรแกรมป้องกันไวรัสและโซลูชัน Endpoint Detection and Response (EDR) ที่มีประสิทธิภาพ ซึ่งอาจมีกลไกการตรวจจับหรือป้องกันช่องโหว่เหล่านี้ได้ดีกว่า
  • จำกัดสิทธิ์ผู้ใช้: หลีกเลี่ยงการใช้งานบัญชีผู้ใช้ที่มีสิทธิ์ระดับผู้ดูแลระบบสำหรับการทำงานประจำวัน และใช้หลักการ "สิทธิ์น้อยที่สุด" (Principle of Least Privilege) เพื่อจำกัดความเสียหายที่อาจเกิดขึ้นหากมีการถูกโจมตี

สถานการณ์ Zero-day ที่กำลังถูกโจมตีจริงนี้ย้ำเตือนให้เห็นถึงความสำคัญของการระมัดระวังและปรับปรุงมาตรการความปลอดภัยอย่างต่อเนื่อง เพื่อให้ระบบของคุณปลอดภัยจากภัยคุกคามที่พัฒนาอย่างไม่หยุดยั้ง

Read more

เคียร์ สตาร์เมอร์ กับวิกฤตความเชื่อมั่น: ปมร้อนการแต่งตั้งทูต Mandelson ที่เขย่าเก้าอี้ผู้นำอังกฤษ

เคียร์ สตาร์เมอร์ กับวิกฤตความเชื่อมั่น: ปมร้อนการแต่งตั้งทูต Mandelson ที่เขย่าเก้าอี้ผู้นำอังกฤษ

เจาะลึกกรณีฉาวการแต่งตั้ง Lord Mandelson เป็นทูตสหรัฐฯ ที่ทำให้ Keir Starmer นายกฯ อังกฤษ เผชิญข้อกล่าวหาปกปิดข้อมูลและขาดความรับผิดชอบ. เกิดอะไรขึ้น?

By ทีมงาน devdog
รัฐบาลไทย: นโยบายการคลัง, การสื่อสาร, และทิศทางอนาคตประเทศ

รัฐบาลไทย: นโยบายการคลัง, การสื่อสาร, และทิศทางอนาคตประเทศ

เจาะลึกการดำเนินงานของรัฐบาลไทย ทั้งแผนการเงิน, การบริหารหนี้สาธารณะ, บทบาทโฆษก, และบริการสาธารณะ สำรวจทิศทางเศรษฐกิจและสังคมไทยในปัจจุบัน

By ทีมงาน devdog
บทบาทของ Manager: เรียนรู้จากความท้าทายในการสื่อสารและการบริหารทีม

บทบาทของ Manager: เรียนรู้จากความท้าทายในการสื่อสารและการบริหารทีม

เจาะลึกบทบาทผู้จัดการในมิติหลากหลาย ตั้งแต่การบริหารทีมกีฬาไปจนถึงเศรษฐกิจและเทคโนโลยี เรียนรู้ความสำคัญของการสื่อสารและตัดสินใจ

By ทีมงาน devdog
Apple เตรียมพลิกโฉมการปรับแต่งหน้าหลัก iOS 27 ด้วยฟีเจอร์ "ยกเลิก" และ "ทำซ้ำ" พร้อม Apple Intelligence สุดล้ำ

Apple เตรียมพลิกโฉมการปรับแต่งหน้าหลัก iOS 27 ด้วยฟีเจอร์ "ยกเลิก" และ "ทำซ้ำ" พร้อม Apple Intelligence สุดล้ำ

พบฟีเจอร์ "ยกเลิก" และ "ทำซ้ำ" ในการปรับแต่งหน้าหลักบน iOS 27 พร้อม Apple Intelligence สุดล้ำ ทั้ง Visual Intelligence, Wallet และ Safari AI ที่จะปฏิวัติประสบการณ์ iPhone ของคุณ

By ทีมงาน devdog