สรุปสั้น

มีการเปิดเผยช่องโหว่ zero-day ตัวใหม่ในโปรแกรม AnyDesk ซึ่งถูกติดตามในรหัส CVE-2026-15682 ที่เปิดทางให้ผู้โจมตีในเครื่อง (local attacker) ทำให้การติดตั้ง AnyDesk ที่ได้รับผลกระทบแครชได้ ด้วยการใช้ประโยชน์จากฟีเจอร์หลักของตัวโปรแกรมในทางที่ผิด สร้างความกังวลใหม่ให้กับองค์กรที่พึ่งพาเครื่องมือควบคุมเดสก์ท็อประยะไกลตัวนี้ในการสนับสนุนงานไอทีและการบริหารจัดการการเข้าถึง ช่องโหว่นี้อยู่ในฟีเจอร์ Send Support Information ที่ออกแบบมาเพื่อช่วยให้ผู้ใช้แบ่งปันข้อมูลวินิจฉัยกับทีมสนับสนุนระหว่างการแก้ปัญหา โดยผู้โจมตีสามารถสร้าง junction ซึ่งเป็น reparse point ชนิดหนึ่งของระบบไฟล์ที่เปลี่ยนเส้นทางการดำเนินการกับไฟล์ เพื่อหลอกให้บริการ AnyDesk เขียนไฟล์ตามอำเภอใจออกไปนอกตำแหน่งที่ตั้งใจไว้ การใช้การเขียนไฟล์ในทางที่ผิดนี้ท้ายที่สุดทำให้แอปพลิเคชันหรือระบบเข้าสู่สภาวะปฏิเสธการให้บริการ (Denial-of-Service หรือ DoS) ขัดขวางการทำงานปกติของผู้ใช้ที่ถูกต้อง อย่างไรก็ตามการโจมตีนี้ไม่ได้ทำงานจากระยะไกลได้ทันที ผู้โจมตีต้องมีความสามารถรันโค้ดสิทธิ์ต่ำบนเครื่องเป้าหมายก่อนตามคำแนะนำของ Zero Day Initiative

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 16 กรกฎาคม พ.ศ. 2569 ว่า มีการเปิดเผยช่องโหว่ zero-day ในโปรแกรม AnyDesk รหัส CVE-2026-15682 ที่เปิดทางให้ผู้โจมตีในเครื่องทำให้เกิดสภาวะปฏิเสธการให้บริการ ช่องโหว่นี้อยู่ในฟีเจอร์ Send Support Information ซึ่งมีไว้ให้ผู้ใช้ส่งข้อมูลวินิจฉัยให้ทีมสนับสนุนขณะแก้ปัญหา แต่กลับกลายเป็นจุดที่ถูกใช้ประโยชน์ในทางที่ผิด โดยการสร้าง junction เพื่อเปลี่ยนเส้นทางการเขียนไฟล์ ทำให้บริการของ AnyDesk เขียนไฟล์ออกไปยังตำแหน่งที่ไม่ควร จนนำไปสู่สภาวะที่ระบบหรือแอปพลิเคชันหยุดทำงาน

ช่องโหว่นี้เดินตามรูปแบบเดียวกับปัญหาความปลอดภัยของ AnyDesk ในอดีต ที่เทคนิคการจัดการระบบไฟล์อย่าง symbolic link และ reparse point ถูกนำมาใช้เพื่อข้ามการควบคุมการเข้าถึงระหว่างการดำเนินการที่เกี่ยวข้องกับเซสชัน โดย AnyDesk เคยเผชิญช่องโหว่ที่เกี่ยวข้องกับกลไกคล้ายกันมาก่อน รวมถึงช่องโหว่ในปี 2567 ที่การจัดการวอลเปเปอร์และ reparse point เปิดทางให้ยกระดับสิทธิ์ (privilege escalation) ได้ ไม่ใช่แค่การทำให้บริการหยุดชะงักเท่านั้น ตามคำแนะนำของ Zero Day Initiative การใช้ประโยชน์จากช่องโหว่นี้ไม่ได้ทำได้จากระยะไกลโดยอัตโนมัติ ผู้โจมตีต้องได้ความสามารถในการรันโค้ดสิทธิ์ต่ำบนเครื่องเป้าหมายเสียก่อน จึงจะกระตุ้นการโจมตีแบบสร้างไฟล์ผ่าน junction ได้ ข้อกำหนดที่ต้องเข้าถึงเครื่องในระดับ local นี้ช่วยลดความเสี่ยงโดยรวมเมื่อเทียบกับช่องโหว่ที่โจมตีจากระยะไกลได้ แต่ก็ยังอันตรายในสภาพแวดล้อมที่ใช้งานร่วมกัน มีผู้ใช้หลายคน หรือถูกเจาะบางส่วนไปแล้ว ซึ่งการมีฐานที่มั่นสิทธิ์ต่ำเป็นเรื่องที่พบได้บ่อย

รายละเอียดช่องโหว่

ช่องโหว่ปฏิเสธการให้บริการในซอฟต์แวร์การเข้าถึงระยะไกลนั้นสร้างความปั่นป่วนเป็นพิเศษให้กับฝ่าย IT help desk และผู้ให้บริการที่ดูแลระบบให้ลูกค้า (Managed Service Provider หรือ MSP) ที่ต้องพึ่งพาเครื่องมืออย่าง AnyDesk ในการสนับสนุนระยะไกลอย่างต่อเนื่อง หากบริการล่มก็หมายถึงการสูญเสียช่องทางเข้าถึงและดูแลระบบปลายทางไปชั่วขณะ เมื่อพิจารณาประวัติเหตุการณ์ด้านความปลอดภัยของ AnyDesk รวมถึงการที่ระบบ production ถูกเจาะในปี 2567 จนต้องเพิกถอนใบรับรอง (certificate revocation) และบังคับอัปเดต ผู้เชี่ยวชาญด้านความปลอดภัยจึงแนะนำให้จัดการช่องโหว่ที่เพิ่งเปิดเผยของ AnyDesk ทุกตัวด้วยความเร่งด่วน กลไกหลักของช่องโหว่นี้คือการอาศัย junction ซึ่งเป็น reparse point ของระบบไฟล์ Windows ในการเปลี่ยนเส้นทางการเขียนไฟล์ที่บริการทำในระดับสิทธิ์สูง ทำให้ไฟล์ถูกเขียนไปยังตำแหน่งที่ผู้โจมตีกำหนด และนำไปสู่สภาวะที่ระบบทำงานผิดปกติจนหยุดให้บริการ

ผลกระทบต่อไทย

AnyDesk เป็นหนึ่งในเครื่องมือควบคุมเดสก์ท็อประยะไกลที่มีการใช้งานแพร่หลายในองค์กรไทย ทั้งฝ่ายไอทีภายใน ผู้ให้บริการ MSP และทีมซัพพอร์ตที่ต้องเข้าถึงเครื่องผู้ใช้จากระยะไกล ช่องโหว่นี้แม้จะจำกัดที่การทำให้ระบบล่ม (DoS) ไม่ใช่การยึดเครื่องหรือขโมยข้อมูลโดยตรง และต้องอาศัยการเข้าถึงเครื่องในระดับ local ก่อน แต่ก็ยังเป็นความเสี่ยงที่ควรใส่ใจ โดยเฉพาะในสภาพแวดล้อมที่มีผู้ใช้หลายคนใช้เครื่องร่วมกัน หรือในระบบที่อาจถูกเจาะบางส่วนไปแล้ว เพราะผู้โจมตีที่มีฐานที่มั่นสิทธิ์ต่ำอยู่แล้วสามารถใช้ช่องโหว่นี้ทำให้ช่องทางซัพพอร์ตระยะไกลใช้งานไม่ได้ ซึ่งอาจถูกใช้เป็นส่วนหนึ่งของการโจมตีที่ใหญ่กว่า เช่น ตัดช่องทางที่ผู้ดูแลจะเข้าไปตอบสนองเหตุการณ์ นอกจากนี้ประวัติการถูกเจาะระบบ production ของ AnyDesk ในอดีตยังเป็นเครื่องเตือนใจว่าเครื่องมือที่มีสิทธิ์เข้าถึงเครื่องปลายทางจำนวนมากคือเป้าหมายที่น่าดึงดูดสำหรับผู้โจมตี

คำแนะนำ

องค์กรควรติดตามประกาศด้านความปลอดภัยอย่างเป็นทางการของ AnyDesk อย่างใกล้ชิด เพื่อรับแพตช์ที่แก้ปัญหาการเขียนไฟล์ผ่าน junction ตัวนี้ทันทีที่ออก ในระหว่างที่ยังไม่มีการยืนยันการแก้ไข ควรจำกัดว่าใครสามารถรันโค้ดบนเครื่องที่ติดตั้ง AnyDesk ได้ โดยเฉพาะการจำกัดการเข้าถึงสิทธิ์ต่ำในทุกจุดที่มีการติดตั้งซอฟต์แวร์เดสก์ท็อประยะไกล พร้อมทั้งเฝ้าระวังการสร้าง junction หรือ reparse point ที่ผิดปกติ ซึ่งเป็นสัญญาณของความพยายามใช้ประโยชน์จากช่องโหว่นี้ นอกจากนี้ควรทบทวนสิทธิ์และขอบเขตการใช้งานของเครื่องมือควบคุมระยะไกลทั้งหมดในองค์กร ใช้หลักการให้สิทธิ์น้อยที่สุดเท่าที่จำเป็น และมีแผนสำรองช่องทางการเข้าถึงและสนับสนุนระบบเผื่อกรณีที่เครื่องมือหลักถูกทำให้ใช้งานไม่ได้

แหล่งอ้างอิง