ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบ Microsoft ออกแพตช์แก้ไขช่องโหว่ Zero-Day ใน Microsoft Defender หลังพบว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริง [1]
1. รายละเอียดเหตุการณ์
Microsoft ออกแพตช์แก้ไขช่องโหว่ Zero-Day ใน Microsoft Defender โดยมีช่องโหว่ที่สำคัญจำนวน 2 รายการดังนี้
1.1 CVE-2026-41091 (CVSS v3.1: 7.8 )เป็นช่องโหว่ประเภท Elevation of Privilege (EoP) ใน Microsoft Defender เกิดจากข้อบกพร่อง Improper Link Resolution Before File Access (Link Following / Symlink Handling) ซึ่งทำให้ Microsoft Defender ตรวจสอบหรือเข้าถึงไฟล์ผ่านลิงก์ (symbolic link / hard link) อย่างไม่ปลอดภัย ส่งผลให้ผู้โจมตีที่มีสิทธิ์ในเครื่องอยู่แล้วสามารถใช้ช่องโหว่นี้เพื่อยกระดับสิทธิ์ (Local Privilege Escalation) ไปสู่สิทธิ์ที่สูงขึ้นในระบบได้ [2]
1.2 CVE-2026-45498 (CVSS v3.1: 7.5 ) เป็นช่องโหว่ประเภท Denial of Service (DoS) ใน Microsoft Defender ซึ่งอาจทำให้ผู้โจมตีสามารถทำให้บริการหรือกระบวนการของ Microsoft Defender หยุดทำงานหรือไม่สามารถให้บริการได้ (Availability Impact) ส่งผลให้ระบบป้องกันมัลแวร์อาจทำงานผิดปกติหรือหยุดตอบสนองชั่วคราว [3]
2. ผลกระทบที่อาจเกิดขึ้น
2.1 ยกระดับสิทธิ์จากผู้ใช้ทั่วไปไปเป็น SYSTEM-level privileges
2.2 ปิดการทำงานหรือหลบเลี่ยงการป้องกันของ Microsoft Defender
2.3 เข้าถึงข้อมูลสำคัญหรือ Credential ภายในระบบ
2.4 ใช้เป็นฐานการโจมตีไปยังระบบอื่น
2.5 เพิ่มความสามารถในการคงอยู่ในระบบ (Persistence) และหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัย
3. ระบบที่ได้รับผลกระทบ
ระบบที่ใช้งาน Microsoft Defender Antivirus หรือ Microsoft Defender for Endpoint
4. แนวทางการป้องกันและแก้ไข
4.1 ติดตั้งแพตช์ความปลอดภัยล่าสุดจาก Microsoft ทันที
4.2 ตรวจสอบการยกระดับสิทธิ์ที่ผิดปกติ
4.3 ตรวจสอบการปิดการทำงานของ Defender
5. มาตรการชั่วคราว (กรณียังไม่สามารถอัปเดตได้ทันที)
5.1 จำกัดสิทธิ์ผู้ใช้งานภายใน
5.2 เปิดใช้งาน Tamper Protection เพื่อป้องกันการแก้ไขค่าของ Microsoft Defender
5.3 ใช้ Application Control / WDAC / AppLocker เพื่อลดโอกาสการรันโค้ดที่ไม่ได้รับอนุญาต
5.4 เฝ้าระวัง Event Logs ที่เกี่ยวข้องกับ Defender Service, Security Center และ Privilege Escalation
5.5 แยกระบบที่มีความเสี่ยงสูงออกจากเครือข่ายสำคัญ
แหล่งอ้างอิง