สรุปสั้น

เมื่อวันอังคารที่ผ่านมา บริษัท Microsoft ออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 206 รายการในผลิตภัณฑ์ของตน ซึ่งเป็นสถิติสูงสุดเท่าที่เคยมีมาในการอัปเดตรอบเดียว โดยในจำนวนนี้มี 3 ช่องโหว่ที่ถูกเปิดเผยสู่สาธารณะไปแล้วในขณะที่ออกแพตช์ จาก 206 รายการ มี 39 รายการระดับ Critical และ 167 รายการระดับ Important แบ่งเป็น privilege escalation 63 ตัว, remote code execution 56 ตัว, information disclosure 30 ตัว, spoofing 27 ตัว, security feature bypass 20 ตัว, denial-of-service 7 ตัว และ tampering 3 ตัว ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2026-45657 ที่มีคะแนน CVSS 9.8 เป็น use-after-free ใน Windows Kernel ที่นำไปสู่ RCE ได้ Microsoft ระบุว่าจำนวนแพตช์ที่เพิ่มขึ้นอย่างมากนี้มาจากการใช้ AI ช่วยค้นหาช่องโหว่ ซึ่งเป็นแนวโน้มที่คาดว่าจะดำเนินต่อไป

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 10 มิถุนายน พ.ศ. 2569 ว่านอกจาก CVE-2026-45657 แล้ว ยังมีช่องโหว่ระดับ 9.8 ที่ต้องเร่งแพตช์อีกสองตัวคือ CVE-2026-47291 ซึ่งเป็น integer overflow ใน Windows HTTP.sys ที่ผู้โจมตีไม่ผ่านการยืนยันตัวตนรันโค้ดผ่านเครือข่ายได้ และ CVE-2026-44815 ซึ่งเป็น stack-based buffer overflow ใน Windows DHCP Client ที่เปิดทางรันโค้ดผ่านเครือข่ายโดยไม่ต้องใช้ credential หรือการโต้ตอบจากผู้ใช้ นาย Alex Vovk ซีอีโอและผู้ร่วมก่อตั้งบริษัท Action1 ระบุว่าช่องโหว่ DHCP นี้สร้างความเสี่ยงร้ายแรงเพราะ DHCP เป็นฟังก์ชันหลักของเครือข่าย การ exploit สำเร็จอาจนำไปสู่การยึดเซิร์ฟเวอร์ การปล่อยมัลแวร์ การขโมยข้อมูล และการเคลื่อนที่เข้าไปลึกในเครือข่าย Microsoft ยังออกแพตช์แก้ CVE-2026-45585 (CVSS 6.8) ซึ่งเป็น BitLocker security feature bypass ที่นักวิจัย Chaotic Eclipse เคยปล่อย PoC ชื่อ YellowKey ออกมาเมื่อเดือนก่อน ทั้งนี้ในบรรดา zero-day ที่เปิดเผยสู่สาธารณะ 3 ตัว ได้แก่ CVE-2026-50507 (BitLocker bypass ชื่อ bitskrieg), CVE-2026-49160 (HTTP.sys DoS ที่เกี่ยวข้องกับ HTTP/2 Bomb) และ CVE-2026-45586 (CTFMON privilege escalation ที่คาดว่าเป็นแพตช์สำหรับ exploit ชื่อ GreenPlasma)

รายละเอียดช่องโหว่

CVE-2026-45657 เป็นช่องโหว่ที่อันตรายที่สุดของรอบนี้ โดย Microsoft อธิบายว่าผู้โจมตีสามารถส่ง network traffic ที่ถูกสร้างขึ้นพิเศษไปยังระบบ Windows ที่มีช่องโหว่ ทำให้เกิดข้อผิดพลาดในการที่ Windows kernel ประมวลผลข้อมูล TCP/IP บางอย่าง ซึ่งอาจเปิดทางให้รันโค้ดด้วยสิทธิ์ระดับ system โดยไม่ต้องล็อกอินหรือให้ผู้ใช้โต้ตอบใดๆ นอกจากนี้ CVE-2026-49160 ยังเชื่อมโยงกับเทคนิคโจมตี HTTP/2 Bomb ที่สามารถทำให้เว็บเซิร์ฟเวอร์ล่มได้ในไม่กี่วินาที โดยในการทดสอบ เซิร์ฟเวอร์ IIS ใช้หน่วยความจำจนหมด 64 GB ภายในราว 45 วินาที Microsoft จึงเพิ่มการตั้งค่า registry ใหม่ชื่อ MaxHeadersCount เพื่อจำกัดจำนวน header ใน HTTP/2 และ HTTP/3 request ส่วน MiniPlasma ซึ่งเป็นช่องโหว่ที่ Chaotic Eclipse เปิดเผยในฐานะการแก้ไขที่ไม่สมบูรณ์ของ CVE-2020-17103 จากปี 2020 ก็ได้รับการอุดด้วยแพตช์มิถุนายนนี้เช่นกัน นาย Dustin Childs จาก Zero Day Initiative ระบุว่าจำนวน CVE ที่ Microsoft ปล่อยในปีนี้เกินยอดรวมทั้งปี 2018 ไปแล้ว สะท้อนว่า AI กำลังเร่งการค้นพบช่องโหว่ในระดับที่ควบคุมได้ยาก

ผลกระทบต่อไทย

Windows เป็นระบบปฏิบัติการหลักของแทบทุกองค์กรในไทย ช่องโหว่ระดับ CVSS 9.8 ที่เปิด RCE ผ่านเครือข่ายโดยไม่ต้องล็อกอินอย่าง CVE-2026-45657, CVE-2026-47291 และ CVE-2026-44815 ถือเป็นความเสี่ยงร้ายแรงต่อเซิร์ฟเวอร์และเครื่องที่เชื่อมต่อเครือข่ายขององค์กรไทย โดยเฉพาะระบบที่ให้บริการ DHCP, HTTP/HTTPS และระบบที่เปิดพอร์ตรับ traffic จากภายนอก เนื่องจากช่องโหว่เหล่านี้เป็นแบบ wormable ที่อาจแพร่ในเครือข่ายได้เอง องค์กรที่มีเซิร์ฟเวอร์ DHCP หรือเว็บเซิร์ฟเวอร์ IIS ที่ใช้ HTTP/2 ควรจัดให้เป็นเป้าหมายแพตช์อันดับต้น นอกจากนี้ช่องโหว่ BitLocker bypass หลายตัวยังเป็นความเสี่ยงต่อข้อมูลในโน้ตบุ๊กขององค์กรที่อาจถูกขโมยหรือสูญหาย ซึ่งผู้ที่เข้าถึงเครื่องทางกายภาพอาจถอดรหัสข้อมูลได้

คำแนะนำ

ติดตั้งแพตช์ Patch Tuesday มิถุนายน 2569 ทันที โดยให้ความสำคัญเป็นอันดับแรกกับช่องโหว่ RCE ระดับ 9.8 ในเซิร์ฟเวอร์ที่เชื่อมต่อเครือข่ายและให้บริการ DHCP, HTTP.sys/IIS สำหรับการป้องกัน HTTP/2 Bomb ให้ตั้งค่า registry MaxHeadersCount เพื่อจำกัดจำนวน header ตามคำแนะนำของ Microsoft เปิด auto-update ทุกที่ที่ทำได้ และจัดลำดับการแพตช์ระบบ internet-facing ก่อน สำหรับช่องโหว่ BitLocker bypass ให้ตรวจสอบนโยบายการเข้ารหัสอุปกรณ์และพิจารณามาตรการเสริมเช่น pre-boot authentication กับเครื่องที่มีข้อมูลอ่อนไหว ทบทวนกฎ detection ใน EDR/SIEM ให้ครอบคลุม zero-day ที่มี PoC สาธารณะแล้ว และเฝ้าระวังพฤติกรรมการยกระดับสิทธิ์ผิดปกติ

แหล่งอ้างอิง