Microsoft ໄດ້​ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ການ​ຍົກ​ລະດັບ​ສິດ​ທີ່​ມີ​ລະ​ດັບ​ຄວາມ​ຮຸນແຮງ​ສູງ​ (CVE-2025-21420) ໃນ​ເຄື່ອງ​ມື​ Windows Disk Cleanup ຂອງ​ Windows (cleanmgr.exe) ຢ່າງ​ເລັ່ງ​ດ່ວນ​ໃນ​ລະຫວ່າງ​ການ​ອັບ​ເດດ​ Patch Tuesday ປະຈຳ​ເດືອນ ​ກຸມພາ​ 2025.

ຊ່ອງ​ໂຫວ່​ນີ້​ມີ​ຄະ​ແນນ​ CVSS 7.8 ຊຶ່ງ​ເຮັດໃຫ້​ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ເອີ້ນ​ໃຊ້​ໂຄ້ດ​ (Code) ທີ່​ເປັນ​ອັນຕະລາຍ​ດ້ວຍ​ສິດ​ SYSTEM ຜ່ານ​ເຕັກ​ນິກ​ DLL sideloading ໄດ້​.

ເຕັກ​ນິກ​ຂອງ​ການ​ໃຊ້​ຊ່ອງ​ໂຫວ່​

ຊ່ອງ​ໂຫວ່​ນີ້​ໃຊ້​ການ​ເຮັດ​ວຽກງານ​ຂອງ​ cleanmgr.exe ທີ່​ມີ​ສິດ​ສູງ​ ເພື່ອ​ໂຫຼດ​ Unsigned DLLs.

ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ຝັງ​ໄລ​ບ​ຣາ​ຣີ​ (Library) ທີ່​ເປັນ​ອັນຕະລາຍ​ ເຊັ່ນ:​ dokannp1.dll ລົງ​ໃນ​ Directory​ຂອງ​ລະບົບ​ຜ່ານ​ເຕັກ​ນິກ​ Path Interception ຫຼື​ File Replacement ໂດຍ​ນັກ​ວິ​ໄຈດ້ານ​ຄວາມ​ປອດໄ​ພ​ໄດ້​ສະແດງ​ໃຫ້​ເຫັນ​ວິທີ​ການ​ໃຊ້​ຊ່ອງ​ໂຫວ່​ນີ້​ຈາກ​

ໂດຍ​ໂຄ້ດ​ນີ້​ຈະ​ bypass ການ​ກວດ​ສອບ​ signature validation ໂດຍ​ການ​ໃຊ້​ປະໂຫຍດ​ຈາກ​ຊ່ອງ​ໂຫວ່​ Directory Traversal ໃນ​ Disk Cleanup scheduler.

ການ​ໂຈມ​ຕີ​ໂດຍ​ໃຊ້​ຊ່ອງ​ໂຫວ່​ນີ້​ຈະສຳ​ເລັດ​ ຕ້ອງ​ການ ການ​​ເປີດ​ໃຊ້​ງານ​ເຄື່ອງ​ມື​ດ້ວຍ​ຕົນເອງ​ ຫຼື ​ການ​ດຳ​ເນີນ​ການ​ອັດ​ໂນ​ມັ​ດຜ່ານ​ disk space thresholds ທີ່​ກຳນົດ​ໄວ້​ ຕາມ​ທີ່​ລາຍ​ງານ​ໂດຍ​ Cyber Security News.

ການ​ອັບ​ເດດ​ໃນ​ເດືອນ​ ກຸມພາ​ 2025 ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ 67 ລາຍ​ການ​ຂອງ​ Windows ຊຶ່ງ​ລວມ​ເຖິງ​ຊ່ອງ​ໂຫວ່​ແບບ​ zero-day 4 ລາຍ​ການ​ ໂດຍ​ການ​ອັບ​ເດດ​ທີ່​ສຳຄັນ​ໄດ້​ແກ້​ໄຂ​:

• CVE-2025-21418: ການ​ຍົກ​ລະດັບ​ສິດ​ໃນ​ Windows Ancillary Function Driver;
• CVE-2025-21391: ການ​ຍົກ​ລະດັບ​ສິດ​ໃນ​ Storage Spaces Direct;
• CVE-2025-21194: ການ​ Bypass ການ​ຮັກສາ​ຄວາມ​ປອດ​ໄພ​ໃນ​ເ​ຟີມ​ແວ (Firmware) ​ຂອງ​ Microsoft Surface;
• CVE-2025-21377: ຊ່ອງ​ໂຫວ່​ໃນ​ການ​ເປີດ​ເຜີຍ​ NTLM hash.

ຄຳ​ແນະ​ນຳ​ຈາກ​ Microsoft ເນັ້ນໜັກ​ເຖິງ​ການ​ຕິດ​ຕັ້ງ​ອັບ​ເດດ​ໂດຍ​ທັນ​ທີ​ ເນື່ອງ​ຈາກ​ຊ່ອງ​ໂຫວ່​ CVE-2025-21418 ແລະ​ CVE-2025-21377 ກຳ​ລັງ​ຖືກ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ຢ່າງ​ຕໍ່​ເນື່ອງ​.

ກ​າ​ນຫຼຸດຜ່ອນຜົນກະ​ທົບ​ ແລະ​ ແນວ​ທາງ​ການ​ປະຕິບັດ​

• ຕິດ​ຕັ້ງ​ແພັດແກ້ໄຂ (Patch) ເດືອນ ​ກຸມພາ​ 2025 ຜ່ານ​ Windows Update ຫຼື​ WSUS;
• ກວດ​ສອບ​ Directory ​ຂອງ​ລະບົບ​ສຳລັບ​ DLL ທີ່​ບໍ່​ໄດ້ຮັບ​ອະນຸຍາດ​;
• ໃຊ້​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ທີ່​ຊ່ວຍ​ໃນ​ການ​ສະແດງ​ລາຍ​ການ​ Utilityຂອງ​ລະບົບ​.

ການ​ວິ​ເຄາະ​ທາງ​ເຕັກ​ນິກ​ທັງ​ໝົດ​ ແລະ ​ຄຳ​ແນະ​ນຳ​ໃນ​ການ​ຫຼຸດຜ່ອນ​ຄວາມ​ສ່ຽງ​ສາມາດ​ເບິ່ງ​ໄດ້​ຈາກ​ຄຳ​ແນະ​ນຳ​ດ້ານ​ຄວາມ​ປອດໄ​ພ​ຂອງ​ Microsoft ໝາຍ​ເລກ​ ADV25002.

ທີມ​ Security ຄວນ​ໃຫ້​ຄວາມ​ສຳຄັນ​ກັບ​ການ​ກວດ​ສອບ​ scheduled tasks ແລະ​ service configurations ເພື່ອ​ປ້ອງ​ກັນ​ບໍ່​ໃຫ້​ເກີດ​ຊ່ອງ​ທາງ​ການ​ຍົກ​ລະດັບ​ສິດ​ທີ່​ຄ້າຍຄື​ກັນ​ໃນ​ອະນາຄົດ​.

ເອກະສານອ້າງອີງ:

1. https://gbhackers.com/windows-disk-cleanup-tool-exploit/#google_vignette
2. https://www.i-secure.co.th/2025/02/%e0%b8%8a%e0%b9%88%e0%b8%ad%e0%b8%87%e0%b9%82%e0%b8%ab%e0%b8%a7%e0%b9%88%e0%b9%83%e0%b8%99%e0%b9%80%e0%b8%84%e0%b8%a3%e0%b8%b7%e0%b9%88%e0%b8%ad%e0%b8%87%e0%b8%a1%e0%b8%b7%e0%b8%ad-windows-disk-cleanu/