ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

8 ข่าว

แฮ็กเกอร์ปิด Defender, Sysmon และ WAF ก่อนดูดรหัสผ่านด้วย Mimikatz

Hackers disable Microsoft Defender Sysmon and WAF before dumping credentials with Mimikatz
บริษัท Huntress เปิดเผยการบุกรุกที่แฮ็กเกอร์ทยอยปิด Microsoft Defender, Sysmon และ ModSecurity WAF ก่อนใช้ Mimikatz ดูดรหัสผ่าน เริ่มจากเว็บเชลล์ที่ซ่อนด้วยเทคนิค steganography บนเซิร์ฟเวอร์ IIS ผู้โจมตีใช้สคริปต์ i.bat ปิดล็อกและเครื่องมือความปลอดภัยกว่าสิบเทคนิค แล้วแก้ WDigest ให้ Windows เก็บรหัสผ่านเป็นข้อความธรรมดา โชคดีที่ SOC จับได้ก่อนข้อมูลรั่ว

CISA ยืนยันกลุ่มแรนซัมแวร์เริ่มใช้ช่องโหว่ BlueHammer ใน Windows Defender โจมตีจริงแล้ว

CISA ยืนยันกลุ่มแรนซัมแวร์ใช้ช่องโหว่ BlueHammer ใน Windows Defender โจมตีจริง
หน่วยงาน CISA ยืนยันว่ากลุ่มแรนซัมแวร์เริ่มใช้ช่องโหว่ BlueHammer (CVE-2026-33825) ใน Windows Defender โจมตีจริงแล้ว หลังช่องโหว่นี้ถูกนักวิจัย Nightmare Eclipse ปล่อย PoC สู่สาธารณะตั้งแต่เมษายนเพื่อประท้วงการจัดการของ Microsoft ช่องโหว่เปิดทางให้ผู้โจมตีที่มีสิทธิ์ต่ำเข้าถึงฐานข้อมูล SAM แล้วยกระดับเป็น SYSTEM ได้ Microsoft แพตช์แล้วตั้งแต่เมษายน แต่เครื่องที่ยังไม่อัปเดตยังเสี่ยงถูกแรนซัมแวร์โจมตี

Microsoft ยืนยัน RoguePlanet เป็น CVE-2026-50656 อย่างเป็นทางการ — กำลังพัฒนาแพตช์แก้ไข Defender zero-day ที่ยกสิทธิ์เป็น SYSTEM

Microsoft confirms RoguePlanet Defender zero-day CVE-2026-50656
Microsoft ยืนยันอย่างเป็นทางการว่าช่องโหว่ RoguePlanet ใน Microsoft Defender ได้รับหมายเลข CVE-2026-50656 คะแนน CVSS 7.8 เป็นช่องโหว่ยกระดับสิทธิ์ใน Malware Protection Engine และกำลังพัฒนาแพตช์แก้ไข นักวิจัย Chaotic Eclipse ผู้ค้นพบเปิดเผยเพิ่มเติมว่า exploit ทำงานได้แม้ปิด real-time protection นับเป็นช่องโหว่ Defender ตัวที่ 4 ต่อจาก BlueHammer, UnDefend และ RedSun ที่ได้รับแพตช์แล้วทั้งหมด

RoguePlanet — Zero-Day ตัวที่ 4 ใน Microsoft Defender จากนักวิจัยนิรนาม ได้ shell สิทธิ์ SYSTEM บน Windows ที่แพตช์ล่าสุดแล้ว

Microsoft Defender RoguePlanet zero-day exploit
นักวิจัยนิรนาม Chaotic Eclipse ปล่อย PoC exploit ชื่อ RoguePlanet โจมตี zero-day ใน Microsoft Defender ผ่านเทคนิค race condition ได้ shell สิทธิ์ SYSTEM บน Windows 10/11 ที่ติดตั้งแพตช์มิถุนายน 2569 ครบแล้ว นับเป็นช่องโหว่ Defender ตัวที่ 4 ต่อจาก BlueHammer, UnDefend และ RedSun ซึ่งทั้งหมดถูกโจมตีจริงแล้ว การเปิดเผยแบบไม่ประสานงานนี้เกิดจากความขัดแย้งระหว่างนักวิจัยกับ Microsoft นักวิจัยอิสระยืนยันว่า exploit ใช้งานได้จริง องค์กรควรเฝ้าระวังการยกระดับสิทธิ์ผิดปกติ

Microsoft Defender เพิ่มการ Monitor RPC Protocol — จับการโจมตี Impacket, DCsync, Authentication Coercion ระดับ OpNum

Microsoft Defender now monitors RPC protocol abuse OpNum granularity lateral movement
บริษัท Microsoft ขยายความสามารถของ Defender ให้ monitor detect และ disrupt การโจมตีที่ abuse Remote Procedure Call (RPC) ซึ่งเป็น protocol หลักของ Windows ที่ผู้โจมตีใช้สำหรับ lateral movement, credential theft และ privilege escalation ผ่านการ integrate กับ Windows Filtering Platform ระดับ OpNum สามารถจับ Impacket, DCsync, Service Control Manager, Task Scheduler และ WMI ได้แม้ traffic จะถูก SMB3 encrypt

Microsoft Defender for Endpoint ตัดเครือข่ายอัตโนมัติเมื่อตรวจพบ Ransomware — ไม่ต้องรอคนกด

Microsoft Defender for Endpoint automatically isolates compromised devices to stop ransomware spread
Microsoft Defender for Endpoint เพิ่มฟีเจอร์ Automatic Device Isolation ที่ตัดการเชื่อมต่อเครือข่ายของ endpoint ที่ถูกโจมตีทันทีเมื่อตรวจพบสัญญาณ ransomware หรือการบุกรุกระดับสูง โดยไม่ต้องรอให้เจ้าหน้าที่กดคำสั่ง ยังคงสื่อสารกับ Defender service เพื่อ telemetry และ SOC team ยังสามารถสั่ง release isolation ได้ตลอดเวลา

Microsoft Defender ถูกโจมตี Zero-Day 2 ช่องโหว่ — แฮ็กเกอร์ยกระดับสิทธิ์เป็น SYSTEM และปิดการทำงาน Defender ได้

Microsoft Defender zero-day vulnerabilities exploited in attacks
Microsoft ออกแพตช์ฉุกเฉินสำหรับช่องโหว่ zero-day 2 รายการใน Windows Defender ที่ถูกโจมตีจริงแล้ว CVE-2026-41091 ช่วยยกระดับสิทธิ์เป็น SYSTEM ด้วย CVSS 7.8 และ CVE-2026-45498 ทำให้ Defender หยุดทำงาน CISA สั่งหน่วยงานรัฐบาลสหรัฐฯ ต้องแพตช์ภายใน 3 มิถุนายน

BlueHammer — นักวิจัยโมโหปล่อย PoC ช่องโหว่ Windows Defender ยกระดับสิทธิ์เป็น SYSTEM ถูก Exploit จริงทันที

BlueHammer Windows Defender Zero-Day CVE-2026-33825 Privilege Escalation
นักวิจัยนามแฝง Chaotic Eclipse ปล่อย PoC exploit ของช่องโหว่ CVE-2026-33825 (CVSS 7.8) ใน Windows Defender หลังไม่พอใจการตอบสนองของ Microsoft ช่องโหว่เป็นประเภท TOCTOU ที่หลอก Defender ให้คัดลอก SAM database แล้วถอดรหัส NT hash เพื่อยกระดับสิทธิ์เป็น SYSTEM ถูกโจมตีจริงภายใน 8 วันหลังเปิดเผย CISA บรรจุเข้า KEV catalog