พบช่องโหว่ Zero-Day “MiniPlasma” บน Windows เสี่ยงถูกยกระดับสิทธิ์เป็น SYSTEM แม้ติดตั้งอัปเดตล่าสุดแล้ว

268/69 (IT) ประจำวันอังคารที่ 19 พฤษภาคม 2569

นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ ได้เผยแพร่โค้ดสาธิตการโจมตี (Proof-of-Concept) สำหรับช่องโหว่ Zero-Day บนระบบปฏิบัติการ Windows ซึ่งถูกระบุชื่อว่า MiniPlasma โดยช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสามารถยกระดับสิทธิ์การเข้าถึงเครื่องคอมพิวเตอร์เป้าหมาย ขึ้นเป็นระดับสูงสุดหรือ SYSTEM ได้ แม้ว่าระบบนั้นจะได้รับการติดตั้งแพตช์อัปเดตความปลอดภัยล่าสุดจนถึงรอบเดือนพฤษภาคม 2569 แล้วก็ตาม เหตุการณ์นี้ถือเป็นประเด็นที่ต้องให้ความสำคัญเนื่องจากมีการเปิดเผยทั้งซอร์สโค้ดและไฟล์โปรแกรมสำเร็จรูปสู่สาธารณะ ซึ่งอาจทำให้ผู้ไม่หวังดีนำเครื่องมือดังกล่าวไปประยุกต์ใช้ในการโจมตีระบบคอมพิวเตอร์ขององค์กรและผู้ใช้งานทั่วไปได้โดยง่าย

จากข้อมูลเบื้องต้นพบว่า ช่องโหว่นี้อาศัยข้อผิดพลาดในการทำงานของไดรเวอร์ Cloud Filter (cldflt.sys) บน Windows ซึ่งจัดการสร้างคีย์รีจิสทรีโดยไม่มีการตรวจสอบสิทธิ์ที่รัดกุมเพียงพอ แม้ว่าปัญหาลักษณะนี้เคยถูกรายงานและได้รับรหัส CVE-2020-17103 เพื่อแก้ไขไปแล้ว ตั้งแต่ปลายปี 2563 แต่นักวิจัยบอกว่าข้อผิดพลาดยังคงอยู่และสามารถเจาะระบบได้ด้วยวิธีการเดิม จากการทดสอบแสดงให้เห็นว่า เมื่อสั่งรันโปรแกรมโจมตีผ่านบัญชีผู้ใช้งานทั่วไป ระบบจะทำการประมวลผลแก้ไขค่ารีจิสทรี และแสดงข้อความว่าการเจาะระบบสำเร็จ (Exploit succeeded) ก่อนจะเปิดหน้าต่าง Command Prompt ใหม่ที่แสดงสถานะผู้ใช้งานเป็น ‘nt authority\system’ ซึ่งหมายถึงการเข้าควบคุมเครื่องได้อย่างสมบูรณ์ โดยมีการยืนยันจากนักวิเคราะห์ช่องโหว่เพิ่มเติมว่าช่องโหว่นี้ยังคงทำงานได้บน Windows 11 รุ่นใช้งานทั่วไปในปัจจุบัน ยกเว้นเพียงรุ่นทดสอบสำหรับนักพัฒนาที่ไม่ได้รับผลกระทบ    

ปัจจุบันทางไมโครซอฟท์กำลังอยู่ระหว่างการตรวจสอบปัญหา และยังไม่มีแพตช์แก้ไขอย่างเป็นทางการออกมาสำหรับช่องโหว่รอบใหม่นี้ ผู้ดูแลระบบองค์กรและผู้ใช้งานควรเตรียมพร้อมรับมือ โดยการเฝ้าระวังพฤติกรรมที่ผิดปกติภายในเครือข่ายอย่างใกล้ชิด แนวทางการลดความเสี่ยงเบื้องต้น คือการจำกัดสิทธิ์การใช้งานของผู้ใช้ทั่วไปให้เข้มงวดขึ้น บังคับใช้นโยบายความปลอดภัยเพื่อป้องกันการรันไฟล์ปฏิบัติการ (Executable) จากแหล่งที่ไม่รู้จัก และเพิ่มการเฝ้าระวังการเปลี่ยนแปลงค่ารีจิสทรีในส่วนของบัญชีผู้ใช้ (.DEFAULT user hive) รวมถึงการแจ้งเตือนเมื่อมีการเรียกใช้งานหน้าต่างคำสั่งที่มีการยกระดับสิทธิ์อย่างผิดปกติ ทั้งนี้ ผู้ดูแลระบบควรติดตามการประกาศอัปเดตด้านความปลอดภัยจากไมโครซอฟท์อย่างต่อเนื่องเพื่อนำแพตช์มาติดตั้งทันทีที่มีการเผยแพร่

แหล่งข่าว https://www.bleepingcomputer.com/news/microsoft/new-windows-miniplasma-zero-day-exploit-gives-system-access-poc-released/