Microsoft เพิ่งเปิดตัวการอัปเดตสะสม Patch Tuesday เดือนมกราคม 2568 ซึ่งรวมถึงการอัปเดตความปลอดภัยสำหรับข้อบกพร่อง 159 รายการใน Windows OS, Microsoft Office, .NET, Azure, Kerberos และ Windows Hyper-V
สิ่งเหล่านี้รวมถึงช่องโหว่แบบ Zero-day จำนวน 8 รายการ โดยในจำนวนนี้ 3 รายการอยู่ภายใต้การแสวงหาประโยชน์อย่างแข็งขัน และอีก 5 รายการเป็นข้อบกพร่องที่เปิดเผยต่อสาธารณะ
“จากแพตช์ที่เผยแพร่ในวันนี้ มี 11 รายการที่ได้รับการจัดอันดับเป็น Critical และอีก 148 รายการได้รับการจัดอันดับสำคัญตามความรุนแรง นี่เป็นจำนวน CVE ที่ใหญ่ที่สุดที่ได้รับการจัดการในเดือนใดๆ นับตั้งแต่อย่างน้อยปี 2017 และมากกว่าสองเท่าของจำนวน CVE ปกติที่ได้รับการแก้ไขในเดือนมกราคม” นักวิจัยโปรแกรม Zero Day Initiative (ZDI) ของ Trend Micro เขียนในการวิเคราะห์-
ช่องโหว่แบบ Zero-day สามรายการภายใต้การใช้ประโยชน์อย่างแข็งขันในป่าได้รับการติดตามดังนี้CVE-2025-21333-CVE-2025-21334, และCVE-2025-21335-
สิ่งเหล่านี้คือช่องโหว่การยกระดับสิทธิ์ (EoP) ใน Windows Hyper-V NT Kernel Integration Virtualization Service Provider (VSP) โดยมีคะแนน CVSS อยู่ที่ 7.8 (สำคัญ)
ตามข้อมูลของ Microsoft การใช้ประโยชน์จากช่องโหว่ได้สำเร็จอาจทำให้ผู้ใช้ที่ได้รับการรับรองความถูกต้องสามารถรันโค้ดด้วยสิทธิ์ของระบบได้
ตามปกติแล้ว บริษัทยักษ์ใหญ่ Redmond ไม่ได้ให้ข้อมูลเกี่ยวกับวิธีการใช้ประโยชน์จากข้อบกพร่องเหล่านี้ ผู้โจมตีที่เกี่ยวข้อง หรือขนาดของการโจมตี
หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) มีเพิ่มข้อบกพร่องเหล่านี้ต่อช่องโหว่ที่เป็นที่รู้จัก (เควี) แค็ตตาล็อก ซึ่งกำหนดให้หน่วยงานรัฐบาลกลางดำเนินการแก้ไขภายในวันที่ 4 กุมภาพันธ์ 2025
ต่อไปเรามาดูกันว่าห้าวันศูนย์วันที่เปิดเผยต่อสาธารณะที่ไม่ถูกโจมตีโดยผู้โจมตีและได้ถูกแพตช์แล้วในการอัปเดตสะสม Patch Tuesday เดือนมกราคม 2025:
CVE-2025-21186-CVE-2025-21366, และCVE-2025-21395: ช่องโหว่ทั้งสามนี้ แต่ละช่องโหว่ได้รับการจัดอันดับ 7.8 ในระดับ CVSS (สำคัญ) เป็นข้อบกพร่อง Remote Code Execution (RCE) ใน Microsoft Access ที่ถูกทริกเกอร์เมื่อเปิดเอกสาร Access ที่ออกแบบมาเพื่อประสงค์ร้าย
บริษัทได้แก้ไขช่องโหว่เหล่านี้โดยการบล็อกการเข้าถึงส่วนขยายต่อไปนี้:
- ตามมาตรฐาน
- ยอมรับ
- ตามมาตรฐาน
- บัญชี
- ตามมาตรฐาน
- ตามมาตรฐาน
- ตามมาตรฐาน
ไมโครซอฟต์ให้เครดิตUnpatched.aiซึ่งเป็นแพลตฟอร์มการค้นหาช่องโหว่ที่ได้รับความช่วยเหลือจาก AI สำหรับการค้นหาปัญหา Microsoft Access ทั้งสามปัญหา
อีกสองวันที่เปิดเผยต่อสาธารณะและไม่ได้ใช้ประโยชน์คือCVE-2025-21275(CVSS: 7.8) ใน Windows App Package Installer และCVE-2025-21308(CVSS: 6.5) ใน Windows Themes ที่ได้รับการแก้ไขในเดือนมกราคม 2025 Patch Tuesday
ในกรณีของข้อบกพร่อง CVE-2025-21275 อาจทำให้ผู้โจมตีได้รับสิทธิพิเศษของระบบหากถูกโจมตีได้สำเร็จ ในทางกลับกัน ช่องโหว่ CVE-2025-21308 สามารถถูกโจมตีได้โดยการดูตัวอย่างไฟล์ Theme ที่เป็นอันตรายใน Windows Explorer
“ผู้โจมตีจะต้องโน้มน้าวให้ผู้ใช้โหลดไฟล์ที่เป็นอันตรายไปยังระบบที่มีช่องโหว่ ซึ่งโดยทั่วไปแล้วจะเป็นการล่อลวงในข้อความอีเมลหรือ Instant Messenger จากนั้นโน้มน้าวให้ผู้ใช้จัดการไฟล์ที่สร้างขึ้นเป็นพิเศษ แต่ไม่จำเป็นต้องคลิกหรือ เปิดไฟล์ที่เป็นอันตราย” อธิบายคำแนะนำของ Microsoft เกี่ยวกับ CVE-2025-21308
นอกเหนือจากช่องโหว่แบบ Zero-day จำนวน 8 รายการข้างต้นแล้ว บริษัทยังได้แก้ไขข้อบกพร่องที่สำคัญด้านล่างด้วย:
- CVE-2025-21178 (คะแนน CVSS: 8.8) – ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Visual Studio
- CVE-2025-21294(คะแนน CVSS: 8.1) – ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Microsoft Digest Authentication
- CVE-2025-21295(คะแนน CVSS: 8.1) – SPNEGO Extended Negotiation (NEGOEX) กลไกการรักษาความปลอดภัย ช่องโหว่การเรียกใช้โค้ดจากระยะไกล
- CVE-2025-21296(คะแนน CVSS: 7.5) – ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ BranchCache
- CVE-2025-21297(คะแนน CVSS: 8.1) – ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของบริการเดสก์ท็อประยะไกลของ Windows
- CVE-2025-21298(คะแนน CVSS: 9.8) – ช่องโหว่ Windows Object Linking and Embedding (OLE) ช่องโหว่การเรียกใช้โค้ดจากระยะไกล
- CVE-2025-21307(คะแนน CVSS: 9.8) – ช่องโหว่การเรียกใช้โค้ดจากระยะไกล Multicast Transport Driver (RMCAST) ที่เชื่อถือได้ของ Windows
- CVE-2025-21309(คะแนน CVSS: 8.1) – ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของบริการเดสก์ท็อประยะไกลของ Windows
- CVE-2025-21311(คะแนน CVSS: 9.8) – การยกระดับช่องโหว่ของสิทธิ์การใช้งาน Windows NTLM V1
- CVE-2025-21380(คะแนน CVSS: 8.8) – ช่องโหว่การเปิดเผยข้อมูลทรัพยากร SaaS ของ Azure Marketplace
- CVE-2025-21385(คะแนน CVSS: 8.8) – ช่องโหว่การเปิดเผยข้อมูล Microsoft Purview
สำหรับข้อมูลโดยละเอียดเกี่ยวกับช่องโหว่ 159 รายการ คุณสามารถคลิกได้ที่นี่-
ขอแนะนำให้ใช้การอัปเดตความปลอดภัยล่าสุดเพื่อให้แน่ใจว่ามีการป้องกันช่องโหว่เหล่านี้
