สรุปสั้น

ช่องโหว่ CVE-2026-33825 (CVSS 7.8) ในกลไกอัปเดต signature ของ Windows Defender ถูกตั้งชื่อว่า BlueHammer เป็นช่องโหว่ประเภท Time-of-Check to Time-of-Use (TOCTOU) ที่ผู้โจมตีที่มีสิทธิ์ต่ำสามารถยกระดับเป็น SYSTEM ได้ นักวิจัยนามแฝง Chaotic Eclipse (หรือ Nightmare-Eclipse) เปิดเผยช่องโหว่และปล่อย PoC exploit code บน GitHub เมื่อ 2 เมษายน 2026 หลังจากไม่พอใจกับการตอบสนองของ Microsoft การโจมตีจริงครั้งแรกถูกพบเมื่อ 10 เมษายน เพียง 8 วันหลังเปิดเผย Microsoft ออกแพตช์เมื่อ 14 เมษายน และ CISA บรรจุช่องโหว่นี้เข้า KEV catalog กำหนดให้หน่วยงานรัฐบาลสหรัฐฯ แก้ไขภายใน 6 พฤษภาคม

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 2 เมษายน พ.ศ. 2569 ว่า นักวิจัยด้านความปลอดภัยที่ใช้ชื่อว่า Chaotic Eclipse ได้ปล่อย PoC exploit code ของช่องโหว่ CVE-2026-33825 ใน Windows Defender บน GitHub โดยให้เหตุผลว่าไม่พอใจกับการตอบสนองของ Microsoft ต่อรายงานช่องโหว่ที่ส่งไป ช่องโหว่นี้ได้รับชื่อเรียกว่า BlueHammer เป็นปัญหา TOCTOU ในกลไกอัปเดต signature ของ Defender ซึ่งผู้โจมตีที่มีสิทธิ์ต่ำบนระบบสามารถใช้เทคนิค operation locks (oplocks) เพื่อหยุดการทำงานของ Defender ชั่วคราว จากนั้นหลอกให้ Defender คัดลอกฐานข้อมูล Security Account Manager (SAM) ไปยังไดเรกทอรีที่ผู้โจมตีเข้าถึงได้ แล้วถอดรหัส NT hash เพื่อสร้างเซสชันระดับ admin จนได้สิทธิ์ SYSTEM ในที่สุด การโจมตีจริงในสภาพแวดล้อมจริงถูกพบครั้งแรกเมื่อ 10 เมษายน โดยผู้โจมตีใช้ PoC ที่เผยแพร่สาธารณะโดยตรง Microsoft ออกแพตช์ในวันที่ 14 เมษายน

รายละเอียดช่องโหว่

CVE-2026-33825 เป็นช่องโหว่ TOCTOU (CWE-367) ใน Windows Defender signature update mechanism ขั้นตอนการโจมตีมีดังนี้: ผู้โจมตีใช้ operation locks (oplocks) เพื่อหยุดกระบวนการอัปเดต signature ของ Defender ชั่วคราว จากนั้น trigger การอัปเดต signature เพื่อหลอกให้ Defender คัดลอก SAM database ไปยัง output directory ที่กำหนด เมื่อได้ SAM database แล้ว ผู้โจมตีจะ parse SAM hive และถอดรหัส NT hash ของผู้ใช้ทั้งหมดในระบบ จากนั้นใช้ hash เหล่านี้สร้าง admin session เพื่อได้สิทธิ์ SYSTEM ทั้งกระบวนการทำได้บนเครื่องที่ผู้โจมตีมีสิทธิ์ต่ำ (low-privilege user) เท่านั้น

ผลกระทบต่อไทย

Windows Defender เป็นซอฟต์แวร์ป้องกันมัลแวร์ที่ติดตั้งมาเป็นค่าเริ่มต้นบน Windows ทุกเครื่อง ทำให้ช่องโหว่นี้กระทบคอมพิวเตอร์ Windows ในประเทศไทยแทบทุกเครื่องที่ยังไม่ได้อัปเดต ทั้งในหน่วยงานราชการ บริษัทเอกชน สถาบันการศึกษา และผู้ใช้ทั่วไป เนื่องจาก PoC exploit เผยแพร่สาธารณะบน GitHub ผู้โจมตีระดับไหนก็สามารถนำไปใช้ได้ง่าย ซึ่งเป็นเรื่องน่ากังวลอย่างยิ่งสำหรับองค์กรที่พึ่งพา Windows Defender เป็นระบบป้องกันหลักโดยไม่มี EDR เพิ่มเติม

คำแนะนำ

  • อัปเดต Windows ผ่าน Windows Update ทันทีเพื่อรับแพตช์ CVE-2026-33825
  • ตรวจสอบว่า Windows Defender signature อัปเดตเป็นเวอร์ชันล่าสุด
  • ตรวจสอบ event log สำหรับการเข้าถึง SAM database ที่ผิดปกติ
  • พิจารณาใช้ ASR (Attack Surface Reduction) rules เพื่อจำกัดพฤติกรรมที่น่าสงสัย
  • องค์กรที่ใช้ Windows Defender เพียงอย่างเดียวควรพิจารณาเพิ่ม EDR solution เพื่อตรวจจับ post-exploitation
  • จำกัดสิทธิ์ผู้ใช้ตามหลัก least privilege เพื่อลดโอกาสที่ผู้โจมตีจะเข้าถึงระบบได้

แหล่งอ้างอิง