424/68 (IT) ประจำวันจันทร์ที่ 27 ตุลาคม 2568
ไมโครซอฟท์ (Microsoft) ได้ออกการอัปเดตด้านความปลอดภัยแบบ Out-of-Band เพื่อแก้ไขช่องโหว่ร้ายแรงใน Windows Server Update Service (WSUS) ที่หมายเลข CVE-2025-59287 มีคะแนน CVSS 9.8 และได้ถูกใช้โจมตี (Active Exploitation) ซึ่งช่องโหว่นี้เป็น Deserialization of Untrusted Data ที่ทำให้ผู้โจมตีจากระยะไกลสามารถส่ง Cookie ที่ฝังโค้ดอันตรายเข้ามาใน Endpoint GetCookie() เพื่อรันคำสั่งในสิทธิ์ SYSTEM ได้ทันที โดยมีสาเหตุจากการใช้งาน BinaryFormatter ที่มีความเสี่ยง ซึ่งไมโครซอฟท์ได้ยกเลิกไปแล้วใน .NET 9 เนื่องจากปัญหาด้านความปลอดภัย
แพตช์ที่ปล่อยออกมาครอบคลุม Windows Server หลายเวอร์ชัน ได้แก่ 2012, 2012 R2, 2016, 2019, 2022 (รวมถึง 23H2 Server Core) และ 2025 โดยผู้ดูแลระบบต้องทำการรีบูตเซิร์ฟเวอร์หลังติดตั้งแพตช์ ซึ่งช่องโหว่ดังกล่าวถูกเพิ่มเข้าไปในฐานข้อมูล Known Exploited Vulnerabilities (KEV) ของ CISA แล้ว ในขณะที่นักวิจัยจากหลายหน่วยงาน เช่น Hawktrace, Eye Security และ Huntress ยืนยันว่ามีการใช้โจมตีจริง ทั้งในรูปแบบ Proof-of-Concept (PoC) และ Payload ขั้นสูงที่ซ่อนคำสั่งผ่าน Base64 และ ysoserial.net gadget chain เพื่อข้ามการตรวจจับ
จากการวิเคราะห์ของนักวิจัยพบว่าผู้โจมตีใช้เทคนิคขั้นสูง เช่น การส่งคำสั่งผ่าน cmd.exe และ PowerShell เพื่อดึง Payload เพิ่มเติม รวมถึงการสแกนหา WSUS Endpoint ที่เปิดพอร์ต 8530/8531 ต่อสาธารณะ เพื่อดำเนินการ Remote Code Execution และขโมยข้อมูลผ่าน Webhook ภายนอก ถึงแม้การโจมตีอาจถูกจำกัด เนื่องจาก WSUS มักไม่ถูกเปิดสู่สาธารณะ แต่ผู้เชี่ยวชาญย้ำว่าผู้ใช้งานต้องอัปเดตแพตช์โดยด่วนเพื่อป้องกันความเสียหาย พร้อมทั้งควรตรวจสอบ Log การเข้าถึง WSUS ที่ผิดปกติ และพิจารณามาตรการ เช่น การยกเลิกใช้ BinaryFormatter และการตรวจสอบ Input Validation เพื่อป้องกันความเสียหาย
