สรุปสั้น

Microsoft ออกอัปเดตความปลอดภัยประจำเดือนพฤษภาคม 2569 (Patch Tuesday) แก้ไขช่องโหว่ทั้งหมด 138 ตัว ในจำนวนนี้มี 30 ตัวที่อยู่ระดับ Critical ซึ่งเป็นจำนวนมากผิดปกติ ช่องโหว่อันตรายที่สุดคือ CVE-2026-41089 ใน Windows Netlogon (CVSS 9.8) เป็น wormable RCE ที่แพร่กระจายได้เอง อีกตัวคือ CVE-2026-41096 ใน Windows DNS Client (CVSS 9.8) ก็เป็น RCE ที่โจมตีได้จากระยะไกลเช่นกัน ทั้งสองช่องโหว่ไม่ต้องการ authentication ผู้โจมตีเพียงส่ง network request/response ที่ดัดแปลงก็โจมตีได้ ณ เวลาเผยแพร่ ยังไม่พบการโจมตีจริง แต่ด้วยความร้ายแรง ผู้ดูแลระบบต้องแพตช์โดยเร็วที่สุด

รายละเอียดข่าว

Patch Tuesday เป็นการออกอัปเดตความปลอดภัยประจำเดือนของ Microsoft ที่ออกทุกวันอังคารที่สองของเดือน เดือนพฤษภาคม 2569 ถือเป็นเดือนที่มีจำนวนแพตช์มากที่สุดเดือนหนึ่งในรอบปี ด้วย 138 ช่องโหว่ จำนวน Critical bugs 30 ตัวก็สูงกว่าค่าเฉลี่ยมาก ปกติอยู่ที่ 5-15 ตัวต่อเดือน นอกจาก DNS และ Netlogon ยังมีช่องโหว่ Critical ใน Microsoft Dynamics 365 และ Microsoft Word Microsoft ระบุว่ายังไม่พบ evidence ของการโจมตีจริงสำหรับช่องโหว่ทั้งหมดในรอบนี้ อย่างไรก็ตาม ช่องโหว่ที่เป็น wormable มักถูก weaponize ภายในไม่กี่สัปดาห์หลังแพตช์ออก ประวัติศาสตร์แสดงว่าช่องโหว่ในระดับเดียวกัน เช่น EternalBlue (MS17-010) เคยถูกใช้สร้าง WannaCry ransomware

รายละเอียดช่องโหว่

CVE-2026-41089 — Windows Netlogon RCE (CVSS 9.8)

  • เป็น stack-based buffer overflow ใน Windows Netlogon service
  • ผู้โจมตีส่ง specially crafted network request ไปยัง Domain Controller
  • ไม่ต้อง authentication — โจมตีได้จากระยะไกล
  • เป็น wormable คือสามารถแพร่กระจายจาก DC หนึ่งไป DC อื่นได้อัตโนมัติ
  • กระทบ Windows Server ทุกเวอร์ชันที่ทำหน้าที่เป็น Domain Controller

CVE-2026-41096 — Windows DNS Client RCE (CVSS 9.8)

  • เป็น heap-based buffer overflow ใน Windows DNS Client
  • ผู้โจมตีส่ง specially crafted DNS response ไปยัง Windows system
  • DNS Client ประมวลผล response ผิดพลาดจนเกิด memory corruption
  • ในบางการตั้งค่าสามารถ execute code ได้โดยไม่ต้อง authentication
  • กระทบ Windows client และ server ทุกเวอร์ชัน

ผลกระทบต่อไทย

องค์กรในประเทศไทยแทบทุกแห่งใช้ Windows Server เป็น Domain Controller สำหรับจัดการ Active Directory ช่องโหว่ Netlogon ที่เป็น wormable ถือเป็นภัยคุกคามระดับสูงสุดสำหรับเครือข่ายองค์กรไทย

หากผู้โจมตีสามารถเข้าถึงเครือข่ายภายในได้ (เช่น ผ่าน VPN ที่ถูก compromise หรือ phishing) ช่องโหว่นี้อาจถูกใช้ยึด Domain Controller ทั้งหมดในเวลาไม่กี่นาที ซึ่งหมายถึงการควบคุมระบบ IT ทั้งองค์กร

คำแนะนำ

  • แพตช์ Windows Server Domain Controllers เป็นลำดับแรก โดยเฉพาะ CVE-2026-41089
  • แพตช์ Windows clients ทุกเครื่องสำหรับ CVE-2026-41096 (DNS)
  • ใช้ network segmentation แยก Domain Controllers ออกจากเครือข่ายทั่วไป
  • เฝ้าระวัง Netlogon traffic ที่ผิดปกติด้วย IDS/IPS
  • ทดสอบแพตช์ในสภาพแวดล้อม staging ก่อน deploy ถ้าเป็นไปได้ แต่อย่ารอนานเกินไป

แหล่งอ้างอิง