สรุปสั้น

นักวิจัยนิรนามที่ใช้ชื่อ Chaotic Eclipse (หรือ Nightmare-Eclipse) ปล่อย proof-of-concept exploit สำหรับ zero-day ตัวใหม่ใน Microsoft Defender ภายใต้ชื่อ RoguePlanet ผ่านบัญชี GitHub ใหม่ชื่อ MSNightmare ตัว exploit ใช้เทคนิค race condition ซึ่งหากสำเร็จจะได้ shell ที่มีสิทธิ์ระดับ SYSTEM เปิดทางให้รันโค้ดหรือทำคำสั่งใดก็ได้บนเครื่อง นักวิจัยทดสอบบน Windows 11 และ Windows 10 ที่ติดตั้งแพตช์ Patch Tuesday มิถุนายน 2569 แล้ว แปลว่า exploit ใช้ได้กับ Windows เวอร์ชันล่าสุด ส่วน Windows Server ก็มีช่องโหว่เช่นกันแต่ exploit ปัจจุบันยังใช้ไม่ได้เพราะผู้ใช้ทั่วไป mount ISO ไม่ได้ Will Dormann นักวิจัยชื่อดังยืนยันว่าทดลองแล้วสำเร็จตั้งแต่ครั้งแรก นี่เป็นช่องโหว่ Defender ตัวที่ 4 ในรอบไม่กี่เดือนจากนักวิจัยรายเดียวกัน

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 10 มิถุนายน พ.ศ. 2569 ว่า Chaotic Eclipse ได้เผยแพร่ exploit RoguePlanet สู่สาธารณะ โดยนักวิจัยระบุว่าเป็น race condition จึงมีลักษณะ “hit or miss” คือบางเครื่องสำเร็จ 100% แต่บางเครื่องใช้งานยาก การปล่อย exploit ครั้งนี้เป็นภาคต่อของซีรีส์ช่องโหว่ Defender ที่นักวิจัยรายนี้ทยอยเปิดเผยในช่วงหลายเดือนที่ผ่านมา ได้แก่ BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) และ RedSun (CVE-2026-41091) ซึ่งทั้งสามตัวถูกนำไปโจมตีจริงในภายหลังทั้งหมด การเปิดเผยแบบไม่ประสานงาน (uncoordinated disclosure) นี้ถูกประเมินว่าเป็นการตอบโต้หลังความสัมพันธ์ระหว่างนักวิจัยกับ Microsoft แตกหัก โดยนักวิจัยกล่าวหาว่า Microsoft เพิกถอนบัญชี MSRC ของตน ไม่จ่ายค่าตอบแทนช่องโหว่ที่รายงาน และทำให้เสื่อมเสียชื่อเสียง ขณะที่ Microsoft แถลงประณามการเปิดเผยช่องโหว่สู่สาธารณะว่า “ไม่มีเหตุผลใดรองรับได้” และทำให้ลูกค้าตกอยู่ในความเสี่ยงโดยไม่จำเป็น พร้อมยืนยันว่าไม่มีเจตนาดำเนินคดีกับผู้ทำวิจัยหรือเผยแพร่งานวิจัยด้านความปลอดภัย แต่จะทำงานร่วมกับหน่วยบังคับใช้กฎหมายหากมีการก่ออาชญากรรมที่สร้างความเสียหายจริง

รายละเอียดช่องโหว่

RoguePlanet เป็นช่องโหว่ประเภท race condition ใน Microsoft Defender ที่เมื่อ exploit สำเร็จจะ spawn command prompt ที่มีสิทธิ์ SYSTEM ซึ่งเป็นสิทธิ์สูงสุดบน Windows ขั้นตอนการโจมตีบน client ต้องอาศัยการ mount ISO image ซึ่งผู้ใช้ทั่วไปบน Windows 10/11 ทำได้ แต่บน Windows Server ผู้ใช้มาตรฐานทำไม่ได้ exploit จึงต้องถูกออกแบบใหม่สำหรับ Server แม้ตัวช่องโหว่จะมีอยู่เหมือนกัน นักวิจัยยังอ้างว่า Microsoft พยายามป้องกัน Defender จาก path redirection attack แต่ “ไร้ผล” และตนยังถือครองช่องโหว่ memory corruption ใน Defender อีกชุด รวมถึงช่องโหว่ในคอมโพเนนต์อื่นของ Windows อีกจำนวนหนึ่งที่ยังไม่เปิดเผย จุดอันตรายของช่องโหว่ตระกูลนี้คือ Defender ติดตั้งมากับ Windows ทุกเครื่องและทำงานด้วยสิทธิ์สูง การโจมตี race condition ใน Defender จึงเป็นเส้นทางยกระดับสิทธิ์ (privilege escalation) ที่ผู้โจมตีนิยมใช้ต่อยอดหลังเจาะเครื่องด้วยสิทธิ์ผู้ใช้ทั่วไปสำเร็จ และจากสถิติของช่องโหว่ 3 ตัวก่อนหน้าของนักวิจัยรายนี้ที่ถูกนำไปใช้โจมตีจริงทั้งหมด คาดว่า RoguePlanet จะถูกนำไปใช้ในวงกว้างในเวลาอันสั้น

ผลกระทบต่อไทย

Windows และ Microsoft Defender เป็นระบบปฏิบัติการและ endpoint protection ที่ใช้แพร่หลายที่สุดในองค์กรไทย ทั้งหน่วยงานรัฐ สถาบันการเงิน และธุรกิจทั่วไป exploit ที่เปิดเผยพร้อมโค้ดสาธารณะบน GitHub หมายความว่าผู้โจมตีทุกระดับรวมถึงกลุ่มแรนซัมแวร์ที่เคลื่อนไหวในภูมิภาคอาเซียนสามารถหยิบไปใช้ได้ทันที โดยเฉพาะในสถานการณ์ที่ผู้โจมตีเข้าถึงเครื่องด้วยสิทธิ์ผู้ใช้ธรรมดาผ่านฟิชชิงแล้วต้องการยกระดับเป็น SYSTEM เพื่อปิด EDR ขโมย credential หรือฝัง backdoor ที่น่ากังวลคือช่องโหว่นี้ยังไม่มีแพตช์ และใช้ได้แม้บนเครื่องที่ติดตั้งอัปเดตมิถุนายน 2569 ครบถ้วนแล้ว องค์กรไทยจึงไม่สามารถพึ่งการแพตช์ตามรอบปกติได้ในกรณีนี้

คำแนะนำ

ติดตามประกาศจาก Microsoft อย่างใกล้ชิดและติดตั้งแพตช์ทันทีที่ออก ระหว่างที่ยังไม่มีแพตช์ให้เพิ่มการเฝ้าระวังพฤติกรรมยกระดับสิทธิ์ผิดปกติ เช่น process ลูกของ Defender ที่ spawn cmd.exe หรือ shell ด้วยสิทธิ์ SYSTEM การ mount ISO image ที่ผิดปกติจากผู้ใช้ทั่วไป และการเขียนไฟล์แปลกปลอมในเส้นทางที่ Defender ใช้งาน พิจารณาใช้ policy จำกัดการ mount ISO สำหรับผู้ใช้ที่ไม่จำเป็น บังคับหลัก least privilege ลดจำนวนบัญชีที่มีสิทธิ์ local admin และทบทวนกฎ detection ใน EDR/SIEM ให้ครอบคลุมเทคนิค race condition ต่อ Defender ตามข้อมูล IOC ที่ชุมชนความปลอดภัยทยอยเผยแพร่

แหล่งอ้างอิง