สรุปสั้น

Microsoft ออกแพตช์ฉุกเฉินเมื่อวันที่ 21 พฤษภาคม 2569 สำหรับช่องโหว่ zero-day 2 รายการใน Windows Defender ที่ถูกโจมตีจริงแล้ว ช่องโหว่แรก CVE-2026-41091 (CVSS 7.8) เป็นการยกระดับสิทธิ์เป็น SYSTEM ผ่านการหลอก Malware Protection Engine ให้เขียนไฟล์ไปยังตำแหน่งที่ผู้โจมตีควบคุม ช่องโหว่ที่สอง CVE-2026-45498 ทำให้ Defender หยุดทำงาน (DoS) เปิดทางให้มัลแวร์ทำงานโดยไม่ถูกตรวจจับ CISA เพิ่มทั้งสองช่องโหว่ใน KEV catalog และสั่งหน่วยงานรัฐบาลสหรัฐฯ ต้องแพตช์ภายใน 3 มิถุนายน 2569

รายละเอียดข่าว

เว็บไซต์ Help Net Security รายงานเมื่อวันที่ 21 พฤษภาคม พ.ศ. 2569 ว่า Microsoft ยืนยันการโจมตีช่องโหว่ zero-day 2 รายการใน Windows Defender ซึ่งเป็นส่วนหนึ่งของคลื่นการโจมตีที่เริ่มต้นจากนักวิจัยที่ใช้ชื่อ Nightmare Eclipse ที่ปล่อย PoC exploit สำหรับช่องโหว่ Defender หลายตัว ได้แก่ BlueHammer, RedSun และ UnDefend ตั้งแต่เดือนเมษายน

Huntress ซึ่งเป็นบริษัทด้าน incident response บันทึกการโจมตีจริงครั้งแรกในช่วงกลางเดือนเมษายน 2569 โดยผู้โจมตีใช้ exploit ทั้ง BlueHammer, RedSun และ UnDefend ร่วมกัน Microsoft ตอบสนองด้วยการออกแพตช์ฉุกเฉินนอกรอบ Patch Tuesday ปกติ โดยแก้ไขใน Malware Protection Engine เวอร์ชัน 1.1.26040.8 และ Antimalware Platform เวอร์ชัน 4.18.26040.7

รายละเอียดช่องโหว่

CVE-2026-41091 เป็นช่องโหว่ประเภท improper link resolution before file access ใน Microsoft Malware Protection Engine เวอร์ชัน 1.1.26030.3008 และก่อนหน้า เมื่อ Defender สแกนไฟล์จะทำงานด้วยสิทธิ์สูง ผู้โจมตีสามารถสร้าง symbolic link หรือ directory junction หลอกให้ engine เขียนไฟล์ไปยัง system directory ที่ถูกป้องกัน ทำให้ได้สิทธิ์ SYSTEM

CVE-2026-45498 เป็นช่องโหว่ DoS ที่กระทบ Microsoft Defender Antimalware Platform ทำให้ Defender หยุดทำงานไม่สามารถป้องกันเครื่องได้ เมื่อใช้ร่วมกับ CVE-2026-41091 ผู้โจมตีสามารถปิด Defender ก่อนแล้วจึงรันมัลแวร์โดยไม่ถูกตรวจจับ

ผลกระทบต่อไทย

Windows Defender เป็นโปรแกรมป้องกันมัลแวร์เริ่มต้นของ Windows ที่ใช้งานอย่างแพร่หลายทั้งในองค์กรภาครัฐและเอกชนของไทย หลายหน่วยงานพึ่งพา Defender เป็นโซลูชันหลักโดยไม่มี endpoint protection เพิ่มเติม ช่องโหว่ที่ถูกโจมตีจริงแล้วเช่นนี้เป็นภัยร้ายแรง เพราะผู้โจมตีสามารถปิดการป้องกันและยกระดับสิทธิ์ได้อย่างเงียบ ๆ โดยเฉพาะเครื่องที่ไม่ได้ตั้งค่า auto-update สำหรับ engine

คำแนะนำ

  • ตรวจสอบว่า Microsoft Malware Protection Engine อัปเดตเป็นเวอร์ชัน 1.1.26040.8 ขึ้นไป และ Antimalware Platform เป็น 4.18.26040.7 ขึ้นไป
  • หากใช้ WSUS หรือ SCCM ให้ approve การอัปเดต engine definition ทันที
  • ตรวจสอบ event log หา anomaly ที่เกี่ยวกับ symlink หรือ junction point ใน directory ที่ Defender สแกน
  • พิจารณาใช้ endpoint protection หลายชั้นไม่พึ่งพา Defender เพียงอย่างเดียว
  • เฝ้าระวัง IOC ที่เกี่ยวข้องกับ RedSun และ UnDefend exploit chain

แหล่งอ้างอิง