สรุปสั้น
บริษัท Microsoft ปล่อยชุดอัปเดตความปลอดภัยประจำเดือน (Patch Tuesday) ครั้งใหญ่ที่สุดเท่าที่เคยมีมา ครอบคลุมช่องโหว่ของ Microsoft เองถึง 622 รายการตามการนับของ Security Update Guide ซึ่งมากกว่าสถิติเดิมของเดือนมิถุนายนที่ราว 200 รายการถึงกว่า 3 เท่า และในจำนวนนี้มีช่องโหว่ 2 รายการที่ผู้โจมตีกำลังใช้โจมตีจริงอยู่แล้ว ทั้งคู่เป็นช่องโหว่ชนิดยกระดับสิทธิ์ (Elevation of Privilege) ที่อยู่ในโครงสร้างพื้นฐานด้านการยืนยันตัวตนและการทำงานร่วมกัน ได้แก่ CVE-2026-56164 ใน SharePoint Server แบบติดตั้งภายในองค์กร (On-premises) และ CVE-2026-56155 ใน Active Directory Federation Services (AD FS) โดย Microsoft ให้เครดิตทีมตอบสนองเหตุการณ์ในการค้นพบทั้งสองช่องโหว่ ซึ่งบ่งชี้ว่าถูกพบระหว่างการสืบสวนการโจมตีที่เกิดขึ้นจริง
จุดที่น่าสนใจคือช่องโหว่ทั้งสองไม่ใช่ช่องโหว่รันโค้ดทางไกล (RCE) ระดับวิกฤตที่คะแนนสูงลิ่ว แต่เป็นช่องโหว่ยกระดับสิทธิ์ในระบบที่สำคัญกว่าที่คะแนนบ่งบอก คือคลังเอกสารขององค์กรและเครื่องที่ทำหน้าที่เซ็นรับรองการล็อกอิน นอกจากนี้ยังมี Zero-Day รายที่สามที่ถูกเปิดเผยต่อสาธารณะแต่ยังไม่ถูกโจมตีคือ CVE-2026-50661 ซึ่งเป็นการหลบเลี่ยง BitLocker ที่ต้องเข้าถึงเครื่องทางกายภาพ บทเรียนสำคัญของเดือนนี้คือเมื่อแพตช์ชุดหนึ่งมีช่องโหว่กว่า 600 รายการ คำว่า “วิกฤต” แทบจะช่วยจัดลำดับความสำคัญไม่ได้อีกต่อไป ผู้ดูแลระบบจึงควรแพตช์ตามช่องโหว่ที่ถูกใช้โจมตีจริงก่อน ไม่ใช่ตามคะแนน CVSS
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 15 กรกฎาคม 2569 ว่า Microsoft ได้ปล่อย Patch Tuesday ที่ทำลายสถิติด้วยจำนวนช่องโหว่ 622 รายการ โดยสองช่องโหว่ที่ต้องรีบแพตช์ก่อนคือ Zero-Day ที่ถูกใช้โจมตีจริง ช่องโหว่แรก CVE-2026-56164 ใน SharePoint Server เปิดให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนยกระดับสิทธิ์ผ่านเครือข่ายได้ โดยไม่ต้องใช้ข้อมูลรับรอง ไม่ต้องอาศัยการโต้ตอบจากผู้ใช้ และทำจากระยะไกล Microsoft ให้เครดิตทีมตอบสนองเหตุการณ์ของบริษัท Mandiant และทีม FLARE ของ Google ซึ่งชี้ว่าช่องโหว่นี้ถูกค้นพบระหว่างการโจมตีที่กำลังเกิดขึ้น แม้ Microsoft จะยังไม่เปิดเผยว่าถูกโจมตีอย่างไรหรือโดยใคร สำหรับองค์กรที่รัน SharePoint แบบ Self-hosted นี่คือช่องโหว่ที่ต้องแพตช์เป็นอันดับแรก และยังมีนาฬิกาอีกเรือนที่เดินอยู่ เพราะวันเดียวกันนี้ยังเป็นวันที่ SharePoint Server 2016 และ 2019 สิ้นสุดการสนับสนุนแบบขยายเวลา (End of Extended Support) โดยไม่มีโครงการ ESU แบบเสียเงินให้พึ่งพา นอกจากการแพตช์แล้ว คำแนะนำของ Microsoft ระบุว่าการเปิดใช้ AMSI ในโหมดเต็ม (Full Mode) บนเซิร์ฟเวอร์จะช่วยลดทอนการโจมตีได้
ช่องโหว่ที่สอง CVE-2026-56155 ใน Active Directory Federation Services เปิดให้ผู้โจมตีที่ยืนยันตัวตนแล้วยกระดับสิทธิ์ในเครื่องผ่านการควบคุมการเข้าถึงที่อ่อนแอ โดยหน่วยตอบสนองเหตุการณ์ DART ของ Microsoft เองเป็นผู้ค้นพบ ทั้งนี้ AD FS คือเครื่องที่ทำหน้าที่เซ็นโทเคนให้กับระบบส่วนที่เหลือขององค์กรเชื่อถือ ดังนั้นช่องโหว่ที่ติดป้ายว่า “Local” บนเครื่องนี้จึงควรได้รับความสนใจมากกว่าที่ป้ายบอก สิ่งที่ควรรู้สำหรับผู้ที่ติดตามกำหนดเส้นตายการแก้ไขคือ ณ ขณะที่รายงานนี้เผยแพร่ ช่องโหว่ทั้งสองยังไม่ถูกบรรจุในบัญชี Known Exploited Vulnerabilities (KEV) ของ CISA แต่ระบบให้คะแนนความเป็นไปได้ในการโจมตีของ Microsoft เองได้ระบุว่าทั้งคู่ถูกโจมตีแล้ว จึงไม่ควรรอให้ขึ้นบัญชี KEV ก่อนจึงจะลงมือ
SharePoint ยังมีการแก้ไขที่น่าสนใจรายการที่สองคือ CVE-2026-55040 ซึ่งเป็นการหลบเลี่ยงการยืนยันตัวตนแบบ JWT ที่ทีม Rapid7 Labs สร้างขึ้นเพื่อใช้ในการแข่งขัน Pwn2Own Berlin โดยคะแนนความรุนแรงยังเป็นที่ถกเถียง Rapid7 ให้ไว้ที่ 5.3 และบอกว่า Microsoft จัดเป็นระดับปานกลาง ขณะที่ ZDI อ่านว่าเป็นระดับวิกฤตที่ 9.1 แต่สิ่งที่ไม่มีข้อโต้แย้งคือ Rapid7 ได้นำช่องโหว่นี้ไปเชื่อมต่อกับช่องโหว่ RCE อีกตัวเพื่อเข้าถึงการรันโค้ดทางไกลแบบไม่ต้องยืนยันตัวตนบนเซิร์ฟเวอร์ที่มีช่องโหว่ และครึ่งที่เป็น RCE นั้นยังไม่ได้รับการแพตช์ โดย Microsoft มีกำหนดจะแก้ในเดือนสิงหาคม ทำให้การแพตช์ในเดือนกรกฎาคมนี้เป็นการตัดวงจรการโจมตีลง
รายละเอียดช่องโหว่
อัปเดตครั้งนี้ยังปิดฉากการปรับแข็ง (Hardening) การเข้ารหัส Kerberos RC4 ที่ Microsoft ดำเนินการมาหลายปี โดยการปล่อยเดือนกรกฎาคมได้ลบสวิตช์ย้อนกลับ RC4DefaultDisablementPhase ซึ่งเป็นทางออกฉุกเฉินที่ผู้ดูแลระบบใช้พึ่งพามาตั้งแต่ Microsoft เริ่มปราบปรามในเดือนมกราคม หลังจากนี้ RC4 จะทำงานได้เฉพาะกับบัญชีที่ถูกตั้งค่าให้อนุญาตอย่างชัดเจนเท่านั้น หากบัญชีบริการใดในสภาพแวดล้อมยังร้องขอตั๋ว Kerberos แบบ RC4 อยู่ ก็อาจยืนยันตัวตนล้มเหลวทันทีที่อัปเดตลงเครื่อง ลำดับการทำงานจึงสำคัญ คือต้องตรวจสอบ (Audit) ก่อนโดยใช้เหตุการณ์การตรวจสอบ RC4 ที่ Microsoft เพิ่มไว้ในเดือนมกราคม จากนั้นหมุนเปลี่ยนรหัสผ่านของบัญชีบริการที่ถูกตั้งค่าสถานะไว้เพื่อให้ Windows สร้างคีย์ AES ให้ แล้วจึงค่อยแพตช์
ในแง่การกระจายตัวของช่องโหว่ Windows เพียงระบบเดียวกินสัดส่วน 416 จาก 622 รายการ และ ZDI นับช่องโหว่ RCE ได้ 95 รายการทั่วทั้งชุด ช่องโหว่ที่มีคะแนนสูงสุดของชุดนี้คือ RCE ใน VMSwitch คือ CVE-2026-57092 ที่ 9.9 นอกจากนี้ยังมี RCE ใน DHCP อีก 5 รายการ และช่องโหว่ในไดรเวอร์ NTFS และ ReFS อีก 21 รายการที่ ZDI มองว่ามาจากต้นตอเดียวกัน ส่วนกลุ่มผลิตภัณฑ์อื่นได้แก่ Office 82 รายการ, Microsoft Edge 46 รายการ, เครื่องมือนักพัฒนา 27 รายการ (การหลบเลี่ยงฟีเจอร์ความปลอดภัยใน Visual Studio, VS Code และ GitHub Copilot), SharePoint Server 17 รายการ (รวม Zero-Day ที่ถูกโจมตีและคู่ RCE ระดับวิกฤตอย่าง CVE-2026-50522 ที่ 9.8), Azure 11 รายการ, SQL Server 8 รายการ (คู่ RCE CVE-2026-54117 และ CVE-2026-54118 ที่ 8.8), Defender 5 รายการ (RCE วิกฤต 2 ตัว) และ Exchange Server 5 รายการ (รวม Stored XSS ใน Outlook Web Access คือ CVE-2026-55008 ที่ 9.6)
ผลกระทบต่อไทย
องค์กรไทยจำนวนมากพึ่งพาระบบของ Microsoft เป็นแกนหลักของโครงสร้างพื้นฐานไอที ทั้ง SharePoint สำหรับจัดการเอกสารภายใน, Active Directory และ AD FS สำหรับการยืนยันตัวตนแบบรวมศูนย์, Exchange สำหรับอีเมล และ SQL Server สำหรับฐานข้อมูล การที่ Zero-Day สองรายการที่ถูกโจมตีจริงอยู่ในระบบยืนยันตัวตนและคลังเอกสารกลาง หมายความว่าองค์กรไทยที่รัน SharePoint หรือ AD FS แบบติดตั้งภายในองค์กรมีความเสี่ยงสูงเป็นพิเศษ โดยเฉพาะหน่วยงานที่ยังใช้ SharePoint Server 2016/2019 ซึ่งหมดการสนับสนุนแล้วและไม่มีแพตช์ในอนาคต นอกจากนี้การเปลี่ยนแปลงเรื่อง Kerberos RC4 ยังอาจทำให้ระบบเก่าหรือบัญชีบริการที่ตั้งค่าไว้นานในองค์กรไทยล็อกอินไม่ได้ทันทีหลังอัปเดต ทีมไอทีจึงต้องวางแผนตรวจสอบก่อนแพตช์เพื่อไม่ให้ระบบใช้งานสะดุด
คำแนะนำ
ผู้ดูแลระบบควรจัดลำดับความสำคัญการแพตช์ตามช่องโหว่ที่ถูกใช้โจมตีจริงก่อนเป็นอันดับแรก โดยดูจากบัญชี KEV ของ CISA คะแนน EPSS และธงสถานะ “ถูกโจมตี” ของ Microsoft ไม่ใช่ตามคะแนน CVSS เพียงอย่างเดียว เพราะเดือนนี้ Zero-Day ทั้งสองที่ถูกโจมตีจริงกลับเป็นช่องโหว่ยกระดับสิทธิ์ระดับกลาง ไม่ใช่ RCE คะแนน 9.8 ที่เป็นพาดหัว ควรรีบแพตช์ CVE-2026-56164 บน SharePoint และ CVE-2026-56155 บน AD FS ทันที และเปิดใช้ AMSI โหมดเต็มบนเซิร์ฟเวอร์ SharePoint เพื่อลดทอนการโจมตี องค์กรที่ยังใช้ SharePoint 2016/2019 ควรเร่งวางแผนย้ายไปเวอร์ชันที่ยังได้รับการสนับสนุน สำหรับการเปลี่ยนแปลง Kerberos RC4 ให้ตรวจสอบบัญชีบริการที่ยังใช้ RC4 หมุนเปลี่ยนรหัสผ่านให้ระบบสร้างคีย์ AES ก่อนแล้วจึงแพตช์ เพื่อป้องกันปัญหาการยืนยันตัวตนล้มเหลว และควรเร่งทดสอบและติดตั้งแพตช์ให้เร็วกว่าเดิม เพราะผู้โจมตีสามารถนำแพตช์ไปเทียบความต่าง (Diff) เพื่อสร้างช่องทางโจมตีได้อย่างรวดเร็ว
