สรุปสั้น

Microsoft ออกแถลงการณ์อย่างเป็นทางการยืนยันว่าช่องโหว่ zero-day ในชื่อ RoguePlanet ที่ถูกเปิดเผยสู่สาธารณะก่อนหน้านี้ได้รับหมายเลข CVE-2026-50656 แล้ว โดยมีคะแนน CVSS 7.8 จัดเป็นช่องโหว่ประเภทยกระดับสิทธิ์ (elevation of privilege) ใน Microsoft Malware Protection Engine ที่เป็นหัวใจของ Microsoft Defender บริษัทระบุว่า “รับทราบปัญหาแล้วและกำลังพัฒนาแพตช์คุณภาพสูงเพื่อแก้ไขช่องโหว่นี้” ซึ่งหมายความว่า ณ ขณะนี้ยังไม่มีแพตช์ให้ใช้งาน

ก่อนหน้านี้ Cloud Thunder เคยรายงานเรื่อง RoguePlanet ไว้แล้วเมื่อวันที่ 10 มิถุนายน ในขณะที่ยังไม่มี CVE และ Microsoft ยังอยู่ระหว่างตรวจสอบ ความคืบหน้าล่าสุดคือนักวิจัย Chaotic Eclipse เปิดเผยข้อมูลเพิ่มเติมว่า exploit ทำงานได้แม้ปิด real-time protection และอาจทำงานได้แม้ในโหมด passive mode ด้วย ทำให้ขอบเขตการโจมตีกว้างกว่าที่ประเมินไว้เดิม

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 17 มิถุนายน พ.ศ. 2569 ว่า Microsoft ออกแถลงการณ์อย่างเป็นทางการยืนยันช่องโหว่ RoguePlanet ใน Microsoft Defender โดยกำหนดหมายเลข CVE-2026-50656 คะแนน CVSS 7.8 และอธิบายว่าเป็นช่องโหว่ยกระดับสิทธิ์ใน Microsoft Malware Protection Engine โดย Microsoft ระบุว่า “รับทราบปัญหาการยกระดับสิทธิ์ใน Microsoft Malware Protection Engine ใน Microsoft Defender ที่สาธารณะเรียกว่า RoguePlanet และกำลังพัฒนาแพตช์คุณภาพสูงเพื่อแก้ไข” ก่อนหน้านี้เมื่อสัปดาห์ที่แล้ว Microsoft ตอบ The Hacker News เพียงว่า “รับทราบรายงานช่องโหว่และกำลังตรวจสอบความถูกต้องและความเกี่ยวข้อง” แต่ตอนนี้ยืนยันแล้วอย่างชัดเจน

นักวิจัย Chaotic Eclipse (หรือ Nightmare-Eclipse) ผู้ค้นพบช่องโหว่ได้อัปเดตข้อมูลเพิ่มเติมเมื่อวันอังคารว่า exploit ทำงานได้แม้จะเปิดหรือปิด real-time protection ก็ตาม และคาดว่าอาจใช้ได้แม้ใน passive mode แม้จะยังไม่ได้ทดสอบยืนยัน ข้อมูลนี้ขยายขอบเขตความเสี่ยงอย่างมากเพราะหมายความว่าแม้ผู้ดูแลระบบจะตั้งค่า Defender ให้ทำงานในโหมดจำกัด exploit ก็ยังสามารถทำงานได้ RoguePlanet เป็นช่องโหว่ Defender ตัวที่ 4 จากนักวิจัยรายเดียวกัน ต่อจาก BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) และ RedSun (CVE-2026-41091) ซึ่งทั้งสามตัวได้รับแพตช์จาก Microsoft แล้ว

รายละเอียดช่องโหว่

CVE-2026-50656 เป็นช่องโหว่ประเภท race condition ใน Microsoft Malware Protection Engine ที่เมื่อ exploit สำเร็จจะให้ผู้โจมตีได้ shell ที่มีสิทธิ์ระดับ SYSTEM ซึ่งเป็นสิทธิ์สูงสุดบน Windows จุดที่เปลี่ยนไปจากรายงานเดิมคือ Microsoft ยืนยันแล้วว่าเป็นช่องโหว่จริง ไม่ใช่แค่ “กำลังตรวจสอบ” อีกต่อไป และยังไม่มีแพตช์แก้ไข ทำให้เป็นสถานะ zero-day อย่างเป็นทางการ

ข้อค้นพบใหม่ที่สำคัญคือ exploit ทำงานได้โดยไม่ขึ้นกับสถานะ real-time protection ของ Defender ไม่ว่าจะเปิดหรือปิดอยู่ก็ตาม และนักวิจัยคาดว่าอาจใช้ได้แม้ใน passive mode ซึ่งเป็นโหมดที่ Defender ทำงานเมื่อมีซอฟต์แวร์ antivirus ตัวอื่นเป็นตัวหลัก เนื่องจาก Malware Protection Engine ยังคงโหลดอยู่ในหน่วยความจำแม้ใน passive mode ด้วย อย่างไรก็ตาม exploit มีลักษณะ “hit or miss” เพราะเป็น race condition ดังนั้นอัตราความสำเร็จจะแตกต่างกันตามสภาพเครื่อง โดยบางเครื่องสำเร็จ 100% ขณะที่บางเครื่องใช้งานยาก

ผลกระทบต่อไทย

เนื่องจาก Microsoft Defender ติดตั้งมาพร้อม Windows ทุกเครื่อง องค์กรและผู้ใช้ทั่วไปในไทยที่ใช้ Windows ล้วนได้รับผลกระทบ โดยเฉพาะองค์กรที่ใช้ Defender เป็น antivirus หลัก ข้อค้นพบใหม่ที่ว่า exploit ทำงานได้แม้ปิด real-time protection หมายความว่าแม้องค์กรที่ใช้ antivirus ตัวอื่นแต่ยังมี Defender ทำงานในโหมด passive ก็อาจมีความเสี่ยง ผู้โจมตีที่เจาะเข้าเครื่องได้ด้วยสิทธิ์ผู้ใช้ทั่วไปสามารถใช้ช่องโหว่นี้ยกระดับสิทธิ์เป็น SYSTEM เพื่อควบคุมเครื่องทั้งหมดและแพร่กระจายในเครือข่ายต่อไป

คำแนะนำ

ขณะนี้ยังไม่มีแพตช์อย่างเป็นทางการจาก Microsoft ผู้ดูแลระบบควรเฝ้าระวังการยกระดับสิทธิ์ผิดปกติบนเครื่อง Windows โดยใช้ EDR หรือ SIEM ตรวจจับ process ที่ spawn ด้วยสิทธิ์ SYSTEM อย่างผิดปกติจาก Malware Protection Engine ควรจำกัดสิทธิ์ผู้ใช้ทั่วไปในการ mount ISO image เพราะ exploit บน client ต้องอาศัยขั้นตอนนี้ และติดตามประกาศแพตช์จาก Microsoft อย่างใกล้ชิด เมื่อแพตช์ออกควรติดตั้งทันที เนื่องจากช่องโหว่ Defender 3 ตัวก่อนหน้าจากนักวิจัยรายเดียวกันล้วนถูกนำไปใช้โจมตีจริงทั้งหมด

แหล่งอ้างอิง