สรุปสั้น

นักวิจัยด้านความปลอดภัยที่ใช้ชื่อว่า Chaotic Eclipse (หรือ Nightmare Eclipse) เผยแพร่ exploit PoC ชื่อ MiniPlasma เมื่อวันที่ 13 พฤษภาคม 2569 ที่ยกระดับสิทธิ์จากผู้ใช้ธรรมดาเป็น SYSTEM บน Windows 11 ที่อัปเดตแพตช์ล่าสุดแล้ว ช่องโหว่อยู่ใน cldflt.sys (Cloud Filter driver) ในฟังก์ชัน HsmOsBlockPlaceholderAccess ซึ่งเป็นช่องโหว่เดิมที่ Google Project Zero เคยรายงานไว้ตั้งแต่กันยายน 2020 ในชื่อ CVE-2020-17103 Microsoft อ้างว่าแก้ไขแล้วในธันวาคม 2020 แต่การทดสอบพบว่าช่องโหว่ยังคงถูก exploit ได้บน Windows 11 ที่ติดตั้ง KB5089549 ล่าสุด Will Dormann นักวิจัยชื่อดังยืนยันว่า exploit ทำงานได้จริง โดยเปิด command prompt ที่มีสิทธิ์ SYSTEM จากบัญชีผู้ใช้ทั่วไป Chaotic Eclipse เป็นนักวิจัยคนเดียวกับที่ปล่อย BlueHammer PoC สำหรับช่องโหว่ Windows Defender ก่อนหน้านี้

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 17 พฤษภาคม พ.ศ. 2569 ว่า Chaotic Eclipse เผยแพร่ทั้ง source code และไฟล์ executable ของ MiniPlasma บน GitHub โดยอ้างว่า Microsoft ไม่ได้แก้ไขช่องโหว่อย่างสมบูรณ์ หรืออาจย้อนแพตช์กลับโดยไม่แจ้ง ช่องโหว่ CVE-2020-17103 ถูกค้นพบครั้งแรกโดย James Forshaw จาก Google Project Zero ในกันยายน 2020 และ Microsoft ออกแพตช์ในเดือนธันวาคมปีเดียวกัน อย่างไรก็ตาม Chaotic Eclipse พบว่าปัญหาเดียวกันนี้ยังคงมีอยู่ในไดรเวอร์ cldflt.sys บน Windows 11 เวอร์ชันปัจจุบัน MiniPlasma เป็นส่วนหนึ่งของชุด exploit หลายตัวที่ Chaotic Eclipse เปิดเผยในช่วงหลายสัปดาห์ที่ผ่านมา รวมถึง BlueHammer และ RedSun ทั้งหมดเป็นช่องโหว่ privilege escalation ที่ยกระดับสิทธิ์เป็น SYSTEM บน Windows

วิธีการโจมตี

MiniPlasma ใช้ช่องโหว่ใน cldflt.sys ซึ่งเป็น Cloud Filter driver ที่ใช้ในระบบ Windows Cloud Files API สำหรับ sync ไฟล์กับ cloud storage:

  • ช่องโหว่อยู่ในฟังก์ชัน HsmOsBlockPlaceholderAccess ที่จัดการ placeholder files
  • ผู้โจมตีที่มีสิทธิ์ user ธรรมดาสามารถสร้าง condition ที่ทำให้ไดรเวอร์ทำงานผิดพลาด
  • ผลลัพธ์คือการเปิด command prompt ที่มีสิทธิ์ SYSTEM ซึ่งเป็นสิทธิ์สูงสุดบน Windows
  • exploit ทำงานได้โดยไม่ต้องมี user interaction เพิ่มเติม เพียงรัน executable จากบัญชีผู้ใช้ทั่วไป

การที่ช่องโหว่อยู่ในไดรเวอร์ระดับ kernel ทำให้อันตรายเป็นพิเศษ เพราะซอฟต์แวร์ security ส่วนใหญ่ไม่สามารถป้องกันการโจมตีในระดับนี้ได้

ผลกระทบต่อไทย

องค์กรในประเทศไทยที่ใช้ Windows 11 เป็นระบบปฏิบัติการหลักมีความเสี่ยงโดยตรง เนื่องจากช่องโหว่นี้ทำงานได้แม้ระบบจะอัปเดตแพตช์ล่าสุดแล้ว ผู้โจมตีที่สามารถเข้าถึงเครื่องด้วยสิทธิ์ user ธรรมดา ไม่ว่าจะผ่าน phishing, RDP หรือ malware ขั้นต้น จะสามารถยกระดับสิทธิ์เป็น SYSTEM ได้ทันที ทำให้ควบคุมเครื่องได้อย่างสมบูรณ์ องค์กรที่ใช้ defense-in-depth โดยพึ่งพาการจำกัดสิทธิ์ผู้ใช้เป็นชั้นป้องกัน ต้องตระหนักว่าช่องโหว่ประเภทนี้ทำให้ชั้นป้องกันดังกล่าวไร้ประสิทธิภาพ

คำแนะนำ

  • เฝ้าระวังการอัปเดตจาก Microsoft สำหรับแพตช์ cldflt.sys ใหม่
  • ใช้ EDR/XDR ที่สามารถตรวจจับ privilege escalation behavior patterns ระดับ kernel
  • จำกัดการรัน executable ที่ไม่ได้รับอนุญาตด้วย application control policies (เช่น AppLocker หรือ WDAC)
  • ตรวจสอบ logs สำหรับการยกระดับสิทธิ์ผิดปกติไปเป็น SYSTEM
  • พิจารณาปิด Cloud Files API หากไม่ได้ใช้งาน เพื่อลดพื้นผิวการโจมตี

แหล่งอ้างอิง