สรุปสั้น

หน่วยงาน CISA ของสหรัฐฯ ยืนยันเมื่อวันจันทร์ว่ากลุ่มแรนซัมแวร์ได้เริ่มใช้ประโยชน์จากช่องโหว่ยกระดับสิทธิ์ระดับ high ใน Microsoft Defender ที่ชื่อ BlueHammer ในการโจมตีจริงแล้ว หลังจากก่อนหน้านี้ช่องโหว่ดังกล่าวเคยถูกใช้ในการโจมตีแบบ zero-day มาแล้วครั้งหนึ่ง ช่องโหว่นี้ถูกติดตามในหมายเลข CVE-2026-33825 และเคยถูกนักวิจัยด้านความปลอดภัยที่ใช้นามแฝงว่า Nightmare Eclipse เปิดเผยพร้อมโค้ด PoC สู่สาธารณะตั้งแต่ต้นเดือนเมษายนที่ผ่านมา เพื่อเป็นการประท้วงวิธีที่ Microsoft Security Response Center หรือ MSRC จัดการกระบวนการเปิดเผยช่องโหว่

Microsoft อธิบายในคำแนะนำด้านความปลอดภัยว่าปัญหานี้เกิดจากการควบคุมสิทธิ์การเข้าถึงที่ไม่ละเอียดเพียงพอใน Windows Defender ซึ่งเปิดทางให้ผู้โจมตีที่มีสิทธิ์ต่ำในเครื่องสามารถยกระดับสิทธิ์ได้ในระดับเครื่อง โดยนาย Will Dormann นักวิเคราะห์ช่องโหว่อาวุโสจากบริษัท Tharros เคยให้สัมภาษณ์กับ BleepingComputer ว่าแม้ช่องโหว่นี้จะไม่ง่ายต่อการโจมตี แต่ก็เปิดทางให้ผู้โจมตีในเครื่องเข้าถึงฐานข้อมูล Security Account Manager หรือ SAM ซึ่งเก็บ password hash ของบัญชีในเครื่องได้ เมื่อได้ข้อมูลนี้แล้วก็สามารถยกระดับเป็นสิทธิ์ SYSTEM และเข้าควบคุมเครื่องได้อย่างสมบูรณ์ Microsoft ออกแพตช์แก้ไขไปแล้วตั้งแต่วันที่ 14 เมษายน 2569 ซึ่งเป็นส่วนหนึ่งของรอบ Patch Tuesday ประจำเดือนเมษายน แต่เครื่องที่ยังไม่ได้อัปเดตยังคงมีความเสี่ยงสูงจากการที่กลุ่มแรนซัมแวร์เริ่มนำช่องโหว่นี้ไปใช้งานจริงแล้ว

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 30 มิถุนายน พ.ศ. 2569 ว่า CISA ได้อัปเดต Known Exploited Vulnerabilities (KEV) Catalog เพื่อระบุว่าช่องโหว่ CVE-2026-33825 หรือ BlueHammer ถูกใช้ในการโจมตีด้วยแรนซัมแวร์แล้ว หลังจากก่อนหน้านี้เคยบรรจุช่องโหว่นี้เข้า KEV Catalog มาตั้งแต่วันที่ 22 เมษายน 2569 พร้อมสั่งให้หน่วยงานรัฐบาลกลางสหรัฐฯ ในกลุ่ม Federal Civilian Executive Branch หรือ FCEB ต้องแพตช์เครื่อง Windows ของตนภายในกำหนดสองสัปดาห์ หรือภายในวันที่ 7 พฤษภาคม โดยระบุว่าช่องโหว่ประเภทนี้เป็นช่องทางโจมตีที่พบบ่อยและสร้างความเสี่ยงร้ายแรงต่อหน่วยงานภาครัฐ แม้ Microsoft จะยังไม่เคยระบุอย่างเป็นทางการว่าช่องโหว่นี้ถูกใช้โจมตีจริง แต่ CISA ก็ได้ปักธงในการอัปเดตล่าสุดว่าพบการใช้ช่องโหว่นี้ในปฏิบัติการแรนซัมแวร์แล้ว

Nightmare Eclipse ผู้เปิดเผยช่องโหว่นี้ยังเคยเปิดเผยช่องโหว่ zero-day อื่น ๆ ใน Windows อีกหลายตัวในช่วงหลายเดือนที่ผ่านมา ได้แก่ RoguePlanet, RedSun, GreenPlasma, MiniPlasma, YellowKey และ UnDefend โดยบางตัวกระทบ Microsoft Defender เช่นเดียวกับ BlueHammer ขณะที่บางตัวกระทบ BitLocker และส่วนประกอบอื่นของ Windows Microsoft ได้แพตช์ช่องโหว่ GreenPlasma, MiniPlasma และ YellowKey ไปแล้วเมื่อสามสัปดาห์ก่อนหน้านี้ในรอบ Patch Tuesday ประจำเดือนมิถุนายน 2569 ทั้งนี้ในช่วงหลายปีที่ผ่านมา CISA เคยบรรจุช่องโหว่ Microsoft Defender เข้า KEV Catalog แล้วรวม 8 ตัว โดย 2 ใน 8 ตัวนั้นถูกกลุ่มแรนซัมแวร์นำไปใช้โจมตีด้วยเช่นกัน สำหรับข้อมูลเชิงเทคนิคของช่องโหว่ BlueHammer ฉบับเต็ม Cloud Thunder เคยรายงานไว้แล้วในโพสต์ก่อนหน้าเมื่อครั้งที่นักวิจัยเพิ่งเปิดเผยและถูกใช้โจมตีแบบ zero-day เป็นครั้งแรก

CISA ยืนยันกลุ่มแรนซัมแวร์ใช้ช่องโหว่ BlueHammer ใน Windows Defender โจมตีจริง

รายละเอียดช่องโหว่

CVE-2026-33825 เป็นช่องโหว่ประเภทควบคุมสิทธิ์การเข้าถึงที่ไม่ละเอียดเพียงพอ (insufficient granularity of access control) ในกลไกของ Windows Defender ซึ่งเปิดทางให้ผู้โจมตีที่มีสิทธิ์ต่ำอยู่แล้วในเครื่องสามารถยกระดับสิทธิ์ในระดับ local ได้ กระบวนการโจมตีอาศัยการเข้าถึงฐานข้อมูล SAM ซึ่งเก็บ password hash ของบัญชีทั้งหมดในเครื่อง เมื่อผู้โจมตีได้สิทธิ์เข้าถึงฐานข้อมูลนี้แล้วก็สามารถถอดรหัส hash และใช้สร้าง session ระดับ admin เพื่อยกระดับต่อเป็นสิทธิ์ SYSTEM ซึ่งเป็นสิทธิ์สูงสุดในระบบ Windows ทำให้สามารถเปิด shell ระดับ SYSTEM และควบคุมเครื่องได้อย่างสมบูรณ์ แม้จะไม่ใช่ช่องโหว่ที่โจมตีได้ง่าย แต่เมื่อมี PoC เผยแพร่สู่สาธารณะแล้ว กลุ่มแรนซัมแวร์ก็สามารถนำไปผนวกเข้ากับขั้นตอนหลังการเจาะระบบเบื้องต้น (post-exploitation) เพื่อยกระดับสิทธิ์และแพร่กระจายไปทั่วเครือข่ายก่อนเข้ารหัสไฟล์ได้

ผลกระทบต่อไทย

Windows Defender เป็นซอฟต์แวร์ป้องกันมัลแวร์ที่ติดตั้งมาเป็นค่าเริ่มต้นในทุกเครื่อง Windows ทำให้คอมพิวเตอร์ในไทยที่ยังไม่ได้อัปเดตแพตช์เดือนเมษายน 2569 ยังคงมีความเสี่ยงจากช่องโหว่นี้อยู่ โดยเฉพาะองค์กรที่เคยประเมินความเสี่ยงของช่องโหว่นี้ต่ำเพราะคิดว่าโจมตีได้ยาก อาจต้องประเมินใหม่เนื่องจากตอนนี้มีหลักฐานยืนยันว่ากลุ่มแรนซัมแวร์นำไปใช้งานจริงแล้ว หากเครื่องในเครือข่ายองค์กรถูกเจาะเข้าไปเบื้องต้นได้ไม่ว่าด้วยวิธีใดก็ตาม ช่องโหว่นี้จะกลายเป็นเครื่องมือช่วยให้ผู้โจมตียกระดับสิทธิ์และแพร่กระจายไปยังเครื่องอื่นก่อนปล่อยแรนซัมแวร์เข้ารหัสไฟล์ทั้งเครือข่าย

คำแนะนำ

องค์กรที่ยังไม่ได้อัปเดต Windows ตั้งแต่รอบ Patch Tuesday เดือนเมษายน 2569 ควรอัปเดตทันทีเพื่อปิดช่องโหว่ CVE-2026-33825 โดยไม่ต้องรอ เนื่องจากตอนนี้มีหลักฐานยืนยันแล้วว่าถูกใช้ในการโจมตีด้วยแรนซัมแวร์จริง ควรตรวจสอบ event log หาสัญญาณของการเข้าถึงฐานข้อมูล SAM ที่ผิดปกติ และพิจารณาเพิ่มโซลูชัน EDR เพื่อตรวจจับพฤติกรรมยกระดับสิทธิ์ผิดปกติ สำหรับองค์กรที่พึ่งพา Windows Defender เป็นระบบป้องกันหลักโดยไม่มี EDR เสริม ควรจัดลำดับความสำคัญของการแพตช์ให้สูงเป็นพิเศษ พร้อมทั้งจำกัดสิทธิ์ผู้ใช้ตามหลัก least privilege เพื่อลดโอกาสที่ผู้โจมตีจะไปถึงขั้นตอนยกระดับสิทธิ์ได้ตั้งแต่ต้น

แหล่งอ้างอิง