สรุปสั้น

นักวิจัยความปลอดภัยที่ใช้ชื่อว่า Chaotic Eclipse (หรือ Nightmare-Eclipse) ปล่อยตัวอย่างการโจมตี (Proof of Concept หรือ PoC) ตัวใหม่ชื่อ LegacyHive ซึ่งถูกอธิบายว่าเป็นช่องโหว่ยกระดับสิทธิ์แบบโหลด hive ตามอำเภอใจใน Windows User Profile Service โดย Windows User Profile Service หรือที่เรียกว่า ProfSvc เป็นองค์ประกอบหลักของระบบที่ทำหน้าที่จัดการบัญชีผู้ใช้และสภาพแวดล้อมการทำงาน นักวิจัยระบุว่า PoC นี้ต้องใช้ข้อมูลรับรองของผู้ใช้ทั่วไปอีกชุดหนึ่งและชื่อผู้ใช้ที่สาม (ซึ่งอาจเป็นบัญชีผู้ดูแลระบบก็ได้) และหาก PoC ทำงานสำเร็จ ก็จะจบลงด้วยการเมานต์ hive ของผู้ใช้เป้าหมายเข้าไปใน current user classes root

จุดที่ทำให้ช่องโหว่นี้น่าสนใจเป็นพิเศษคือมันทำงานได้จริงบน Windows ทั้งเวอร์ชันเดสก์ท็อปและเซิร์ฟเวอร์ทุกเวอร์ชันที่ยังได้รับการสนับสนุน รวมถึงเครื่องที่รันอัปเดต Patch Tuesday เดือนกรกฎาคม 2569 ล่าสุดแล้ว นักวิจัยบอกว่าตนได้ตัดทอน PoC ลงเพื่อป้องกันการนำไปใช้โจมตีในวงกว้าง โดยระบุว่า exploit ต้นฉบับไม่จำเป็นต้องใช้ข้อมูลรับรองเพิ่มเติมและไม่ได้จำกัดอยู่แค่ hive ชื่อ usrclass.dat เท่านั้น แต่สามารถโหลด hive ใดก็ได้ ทั้งนี้ Chaotic Eclipse กับ Microsoft มีข้อพิพาทกันอย่างดุเดือดมาตั้งแต่อย่างน้อยเดือนเมษายน 2569 โดยนักวิจัยได้ปล่อยรายละเอียดของ exploit หลายตัวก่อนที่ Microsoft จะมีโอกาสแพตช์ โดยอ้างว่าการสื่อสารระหว่างกันล้มเหลว

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 15 กรกฎาคม 2569 ว่า ในบรรดาช่องโหว่ที่ Chaotic Eclipse เปิดเผยนั้น มีสามช่องโหว่ใน Microsoft Defender ที่ถูกนำไปใช้โจมตีจริงไม่นานหลังการเปิดเผยต่อสาธารณะ และเมื่อต้นเดือนที่ผ่านมา Microsoft ก็เพิ่งปล่อยอัปเดตแก้ช่องโหว่ Defender อีกตัวที่ชื่อ RoguePlanet ซึ่งนักวิจัยรายนี้เปิดเผย อย่างไรก็ตามกลับพบว่า “อัปเดตเสริมการป้องกันเชิงลึก” (Defense-in-depth Updates) ที่ออกมาแก้ช่องโหว่นั้น อาจทำให้ Microsoft Defender รั่วไหลข้อมูล 8 ไบต์เมื่อพยายามเปิดไฟล์ในบางสถานการณ์ Microsoft แจ้งกับ The Hacker News ว่ากำลังตรวจสอบรายงานใหม่นี้และรายงาน LegacyHive อยู่

รายงานยังชี้ว่าเหตุการณ์นี้เกิดขึ้นในช่วงที่ Microsoft ปล่อยแพตช์จำนวนทำลายสถิติถึง 622 ช่องโหว่ ซึ่งรวมช่องโหว่ยกระดับสิทธิ์ 2 รายการใน SharePoint Server (CVE-2026-56164 คะแนน CVSS 5.3) และ Active Directory Federation Services (CVE-2026-56155 คะแนน CVSS 7.8) ที่ถูกระบุว่าถูกใช้โจมตีจริง โดย CISA ได้เพิ่มช่องโหว่ทั้งสองเข้าสู่บัญชี KEV ซึ่งบังคับให้หน่วยงานรัฐกลางสหรัฐฯ ต้องแพตช์ภายในวันที่ 17 และ 28 กรกฎาคม 2569 ตามลำดับ นาย Adam Barnett วิศวกรซอฟต์แวร์อาวุโสของบริษัท Rapid7 ให้ความเห็นว่า “หลังจากหลายปีที่ค่อนข้างมีเสถียรภาพ กระบวนการ Patch Tuesday ได้เผชิญความปั่นป่วนอย่างมากในปี 2569 นี้” ทั้งจากการเติบโตแบบก้าวกระโดดของการรายงานและค้นพบช่องโหว่ที่ขับเคลื่อนด้วย AI และจากการที่ช่องโหว่ถูกเปิดเผยในลักษณะที่สร้างความอึดอัดให้ Microsoft มากที่สุด

ในคำแนะนำอีกฉบับ CISA ระบุว่าทราบถึงการโจมตีจริงที่ใช้ช่องโหว่ SharePoint Server หลายรายการ ทั้ง CVE-2026-32201, CVE-2026-45659 และ CVE-2026-56164 ที่เปิดทางให้ผู้โจมตีเข้าถึงระบบที่มีช่องโหว่โดยไม่ได้รับอนุญาต นาย Alex Vovk ซีอีโอและผู้ร่วมก่อตั้งบริษัท Action1 อธิบายเกี่ยวกับ CVE-2026-56164 ว่าช่องโหว่นี้เกิดจากการขาดการยืนยันตัวตนสำหรับฟังก์ชันสำคัญ ทำให้ผู้โจมตีสามารถส่งคำขอเครือข่ายที่ประดิษฐ์ขึ้นเป็นพิเศษเพื่อเข้าถึงฟังก์ชันที่ควรต้องยืนยันตัวตน ส่งผลให้ยกระดับสิทธิ์ได้ และเซิร์ฟเวอร์ SharePoint ที่เปิดสู่อินเทอร์เน็ตมีความเสี่ยงเป็นพิเศษเพราะโจมตีจากระยะไกลได้โดยไม่ต้องมีข้อมูลรับรองที่ถูกต้อง

รายละเอียดช่องโหว่

LegacyHive อาศัยกลไกการโหลด registry hive ของ Windows User Profile Service (ProfSvc) ซึ่งเป็นบริการที่ทำหน้าที่จัดการโปรไฟล์และสภาพแวดล้อมของผู้ใช้ ช่องโหว่ประเภทโหลด hive ตามอำเภอใจ (Arbitrary Hive Load) เปิดทางให้ผู้โจมตีที่มีสิทธิ์ผู้ใช้ทั่วไปสามารถหลอกให้บริการเมานต์ hive ที่ตนควบคุมเข้าไปในพื้นที่ที่มีสิทธิ์สูงกว่า จนนำไปสู่การยกระดับสิทธิ์ในเครื่อง ตามที่นักวิจัยระบุ PoC ที่ปล่อยออกมาถูกตัดทอนให้ต้องใช้ข้อมูลรับรองผู้ใช้เพิ่มเติมและจำกัดอยู่แค่ hive ชื่อ usrclass.dat แต่ exploit ต้นฉบับไม่มีข้อจำกัดเหล่านี้ ทำให้สามารถโหลด hive ใดก็ได้หากผู้โจมตีมีความเข้าใจเพียงพอ

สิ่งที่ทำให้ช่องโหว่นี้อันตรายในทางปฏิบัติคือการที่มันยังทำงานได้บน Windows ที่แพตช์ล่าสุดแล้ว ต่างจากช่องโหว่ทั่วไปที่มักถูกปิดในรอบ Patch Tuesday การที่นักวิจัยเลือกเปิดเผย PoC ทันทีหลัง Patch Tuesday จึงหมายความว่าองค์กรไม่มีแพตช์ให้ติดตั้งเพื่อป้องกันในทันที และต้องพึ่งพาการเฝ้าระวังและการควบคุมสิทธิ์แทนจนกว่า Microsoft จะออกแพตช์อย่างเป็นทางการ

ผลกระทบต่อไทย

องค์กรไทยที่ใช้ระบบปฏิบัติการ Windows ทั้งฝั่งเดสก์ท็อปและเซิร์ฟเวอร์ ซึ่งครอบคลุมแทบทุกองค์กร มีความเสี่ยงจากช่องโหว่ที่ยังไม่มีแพตช์นี้ แม้ LegacyHive จะเป็นช่องโหว่ยกระดับสิทธิ์ที่ผู้โจมตีต้องมีสิทธิ์ผู้ใช้ในเครื่องอยู่ก่อน แต่ในสถานการณ์จริงผู้โจมตีมักได้สิทธิ์ผู้ใช้ทั่วไปมาก่อนจากฟิชชิงหรือมัลแวร์ แล้วจึงใช้ช่องโหว่แบบนี้ยกระดับเป็นสิทธิ์สูงเพื่อเข้าควบคุมเครื่องทั้งหมด การที่ช่องโหว่ทำงานได้แม้บนเครื่องที่แพตช์ล่าสุด ทำให้องค์กรไทยไม่สามารถพึ่งการแพตช์เพียงอย่างเดียว แต่ต้องเสริมการเฝ้าระวังพฤติกรรมและการจำกัดสิทธิ์อย่างเข้มงวด

คำแนะนำ

เนื่องจากยังไม่มีแพตช์สำหรับ LegacyHive องค์กรควรเน้นการลดพื้นที่โจมตีและเฝ้าระวังแทน โดยจำกัดสิทธิ์ผู้ใช้ตามหลักสิทธิ์น้อยที่สุด (Least Privilege) เพื่อลดโอกาสที่ผู้โจมตีจะได้สิทธิ์ตั้งต้นในเครื่อง เฝ้าระวังพฤติกรรมการโหลด registry hive ที่ผิดปกติและการเข้าถึง ProfSvc ที่น่าสงสัยผ่านระบบ EDR ควบคู่ไปกับการติดตามประกาศจาก Microsoft อย่างใกล้ชิดเพื่อติดตั้งแพตช์ทันทีที่ออก ในระหว่างนี้ควรเร่งแพตช์ช่องโหว่ที่ถูกโจมตีจริงอื่นๆ ที่มีแพตช์แล้ว โดยเฉพาะ CVE-2026-56164 และ CVE-2026-56155 ที่อยู่ในบัญชี KEV ของ CISA รวมถึงเสริมการป้องกันบัญชีด้วยการยืนยันตัวตนหลายปัจจัย (MFA) เพื่อลดความเสี่ยงที่ผู้โจมตีจะเข้าถึงเครื่องได้ตั้งแต่แรก

แหล่งอ้างอิง