Microsoft ອອກແພັດ (Patch) ສຸກເສີນສຳລັບ Windows Server ເພື່ອແກ້ໄຂຊ່ອງໂຫວ່ WSUS ທີ່ມີ PoC exploit ອອກມາແລ້ວ
Microsoft ອອກແພັດ (Patch) ອັບເດດດ້ານຄວາມປອດໄພສຸກເສີນ (Out-of-Band - OOB ) ເພື່ອແກ້ໄຂຊ່ອງໂຫວ່ລະດັບ Critical ໃນສ່ວນຂອງ Windows Server Update Services (WSUS) ຊຶ່ງມີ Proof-of-Concept (PoC) ທີ່ໃຊ້ສຳລັບໂຈມຕີຖືກເຜີຍແຜ່ອອກສູ່ສາທາລະນະແລ້ວ.
WSUS ເປັນຜະລິດຕະພັນຂອງ Microsoft ທີ່ຊ່ວຍໃຫ້ຜູ້ເບິ່ງແຍງລະບົບສາມາດຈັດການ ແລະ ຄວບຄຸມການອັບເດດແພັດຂອງ Windows ໄປທີ່ຄອມພິວເຕີພາຍໃນເຄືອຂ່າຍຂອງຕົນເອງໄດ້.
ຊ່ອງໂຫວ່ດັ່ງກ່າວມີໝາຍເລກ CVE-2025-59287 ຊຶ່ງເປັນຊ່ອງໂຫວ່ Remote Code Execution (RCE) ໂດຍຊ່ອງໂຫວ່ນີ້ຈະສົ່ງຜົນກະທົບສະເພາະ Windows Server ທີ່ມີການເປີດໃຊ້ງານ WSUS Server role ເທົ່ານັ້ນ ຊຶ່ງເປັນ feature ທີ່ບໍ່ໄດ້ເປີດໃຊ້ງານເປັນຄ່າເລີ່ມຕົ້ນ.ຊ່ອງໂຫວ່ນີ້ສາມາດຖືກໂຈມຕີໄດ້ຈາກໄລຍະໄກດ້ວຍລັກສະນະການໂຈມຕີທີ່ມີຄວາມຊັບຊ້ອນຕ່ຳ ແລະ ບໍ່ຈຳເປັນຕ້ອງມີການໂຕ້ຕອບຈາກຜູ້ໃຊ້ງານ ເຮັດໃຫ້ຜູ້ໂຈມຕີທີ່ບໍ່ມີສິດເຂົ້າເຖິງ ສາມາດໂຈມຕີລະບົບທີ່ມີຊ່ອງໂຫວ່ ແລະ ເປີດໃຊ້ງານໂຄ້ດທີ່ເປັນອັນຕະລາຍ (run malicious code) ດ້ວຍສິດ SYSTEM ໄດ້ ຊຶ່ງຊ່ອງໂຫວ່ນີ້ມີໂອກາດທີ່ຈະຖືກໃຊ້ໃນລັກສະນະ wormable ລະຫວ່າງ WSUS Servers ນຳກັນເອງໄດ້.
Microsoft ລະບຸວ່າ Windows Servers ທີ່ບໍ່ໄດ້ເປີດໃຊ້ງານ WSUS Server role ຈະບໍ່ໄດ້ຮັບຜົນກະທົບຈາກຊ່ອງໂຫວ່ນີ້ ແຕ່ຫາກວ່າມີການເປີດໃຊ້ງານ WSUS Server role ຈະເຮັດໃຫ້ເກີດຄວາມສ່ຽງທັນທີ ຖ້າຍັງບໍ່ໄດ້ອັບເດດແພັດກ່ອນທີ່ຈະເປີດໃຊ້ງານ.
ຜູ້ໂຈມຕີທີ່ບໍ່ຈຳເປັນຕ້ອງຜ່ານການຢືນຢັນຕົວຕົນ ສາມາດສົ່ງ Event ທີ່ສ້າງຂຶ້ນມາເປັນພິເສດ ຊຶ່ງຈະເຮັດໃຫ້ເກີດ unsafe object deserialization ໃນ serialization mechanism ເຮັດໃຫ້ເກີດການເປີດໃຊ້ງານໂຄ້ດທີ່ເປັນອັນຕະລາຍຈາກໄລຍະໄກໄດ້.
Microsoft ໄດ້ອອກແພັດອັບເດດຄວາມປອດໄພສຳລັບ Windows Server ທຸກເວີຊັ່ນທີ່ໄດ້ຮັບຜົນກະທົບ ແລະ ແນະນຳໃຫ້ລູກຄ້າຕິດຕັ້ງການອັບເດດເຫຼົ່ານັ້ນໂດຍໄວທີ່ສຸດເທົ່າທີ່ຈະເຮັດໄດ້ ໂດຍມີລາຍການດັ່ງນີ້:
- Windows Server 2025 (KB5070881)
- Windows Server, version 23H2 (KB5070879)
- Windows Server 2022 (KB5070884)
- Windows Server 2019 (KB5070883)
- Windows Server 2016 (KB5070882)
- Windows Server 2012 R2 (KB5070886)
- Windows Server 2012 (KB5070887)
ຕາມທີ່ Microsoft ເປີດເຜີຍໃນການອັບເດດໃນ ວັນທີ 23 ຕຸລາ 2025 ທີ່ຜ່ານມາ ໃນປະກາດດ້ານຄວາມປອດໄພສະບັບເກົ່າ ໂດຍລະບຸວ່າມີ PoC ຂອງຊ່ອງໂຫວ່ CVE-2025-59287 ຖືກເປີດເຜີຍອອກມາແລ້ວ ຊຶ່ງເຮັດໃຫ້ການອັບເດດແພັດເທິງເຊີເວີທີ່ມີຊ່ອງໂຫວ່ເປັນຄວາມສຳຄັນເລັ່ງດ່ວນ.
Microsoft ຍັງໄດ້ແນະນຳວິທີແກ້ໄຂບັນຫາຊົ່ວຄາວ (Workarounds) ສຳລັບຜູ້ເບິ່ງແຍງລະບົບທີ່ບໍ່ສາມາດອັບເດດແພັດສຸກເສີນເຫຼົ່ານີ້ໄດ້ທັນທີ ເຊັ່ນ: ປິດໃຊ້ WSUS Server ເພື່ອປິດຊ່ອງທາງໂຈມຕີ ຫຼື ການປິດກັ້ນ (Block) ການຈາລະຈອນ (Traffic) ຂາເຂົ້າທັງໝົດໄປທີ່ພອດ (Port) 8530 ແລະ 8531 ເທິງ Host Firewall ເພື່ອບໍ່ ໃຫ້ WSUS ສາມາດເຮັດວຽກໄດ້.
ຢ່າງໃດກໍ່ຕາມ, ສິ່ງທີ່ຄວນຮູ້ຄື ອຸປະກອນອື່ນໆ ຈະຢຸດຮັບການອັບເດດຈາກເຊີເວີພາຍໃນອົງກອນທັນທີ ພາຍຫຼັງຈາກທີ່ WSUS ຖືກປິດໃຊ້ງານ ຫຼື ການຈາລະຈອນຖືກບລັອກໄປແລ້ວ.
Microsoft ໄດ້ລະບຸເພີ່ມເຕີມວ່າ ອັບເດດນີ້ເປັນການອັບເດດແບບ cumulative ດັ່ງນັ້ນ ບໍ່ຈຳເປັນຕ້ອງອັບເດດແພັດໃດກ່ອນການອັບເດດນີ້ ເພາະການອັບເດດນີ້ຈະມາແທນທີ່ການອັບເດດທັງໝົດທີ່ຜ່ານມາສຳລັບເວີຊັ່ນທີ່ໄດ້ຮັບຜົນກະທົບ.
ຫາກຍັງບໍ່ໄດ້ອັບເດດຄວາມປອດໄພຂອງ Windows ເດືອນ ຕຸລາ 2025 ຂໍແນະນຳໃຫ້ໃຊ້ການອັບເດດແບບ OOB (ສຸກເສີນ) ນີ້ແທນ ແລະ ຫຼັງຈາກທີ່ການອັບເດດແລ້ວ ຕ້ອງຣີບູດລະບົບໃໝ່.
ໃນເອກະສານ separate support ຂອງ Microsoft ລະບຸວ່າ WSUS ຈະບໍ່ສະແດງລາຍລະອຽດ synchronization error ຫຼັງຈາກຕິດຕັ້ງການອັບເດດເຫຼົ່ານີ້ ຫຼື ການອັບເດດທີ່ໃໝ່ກວ່າ ເນື່ອງຈາກມີການລຶບຟັງຊັ່ນນີ້ອອກໄປຊົ່ວຄາວ ເພື່ອແກ້ໄຂຊ່ອງໂຫວ່ RCE ທີ່ມີໝາຍເລກ CVE-2025-59287.
ຊ່ອງໂຫວ່ກຳລັງຖືກໃຊ້ໃນການໂຈມຕີຈິງແລ້ວ
ບໍລິສັດຄວາມປອດໄພທາງໄຊເບີຂອງເນເທີແລນ Eye Security ລາຍງານໃນຊ່ວງເຊົ້າ ວັນທີ 24 ຕຸລາ 2025 ວ່າ ໄດ້ພົບຄວາມພະຍາຍາມໃນການສະແກນ ແລະ ໂຈມຕີລະບົບແລ້ວ ໂດຍມີຢ່າງນ້ອຍໜຶ່ງລະບົບຂອງລູກຄ້າທີ່ຖືກໂຈມຕີຜ່ານຊ່ອງໂຫວ່ທີ່ແຕກຕ່າງຈາກທີ່ Hawktrace ເປີດເຜີຍໃນທ້າຍອາທິດທີ່ຜ່ານມາ.
ເຖິງວ່າເຊີເວີ WSUS ໂດຍທົ່ວໄປມັກຈະບໍ່ຖືກເປີດໃຫ້ເຂົ້າເຖິງໄດ້ຈາກອິນເຕີເນັດ ແຕ່ Eye Security ລະບຸວ່າ ພົບການເປີດໃຊ້ງານຢູ່ປະມານ 2,500 ລາຍການ ທົ່ວໂລກ ລວມເຖິງ 250 ລາຍການ ໃນ ເຢຍລະມັນ ແລະ ປະມານ 100 ລາຍການ ໃນເນເທີແລນ.
ບໍລິສັດຄວາມປອດໄພທາງໄຊເບີຂອງສະຫະລັດອາເມລິກາ Huntress ກໍ່ກວດພົບຫຼັກຖານຂອງການໂຈມຕີຊ່ອງໂຫວ່ CVE-2025-59287 ເຊັ່ນກັນ ໂດຍແນເປົ້າໄປທີ່ WSUS instances ທີ່ເປີດ Port ເລີ່ມຕົ້ນ (8530/TCP ແລະ 8531/TCP) ຈາກອິນເຕີເນັດ ຕັ້ງແຕ່ວັນພະຫັດ ທີ 23 ຕຸລາ.
Huntress ລະບຸວ່າ “ຄາດວ່າການໂຈມຕີທີ່ໃຊ້ຊ່ອງໂຫວ່ CVE-2025-59287 ຈະຢູ່ໃນວົງຈຳກັດ ເນື່ອງຈາກ WSUS ບໍ່ຄ່ອຍເປີດ Port 8530 ແລະ 8531 ຈາກອິນເຕີເນັດ ຈາກຖານຂໍ້ມູນພັນທະມິດຂອງເຮົາ ເຮົາພົບໂຮສທີ່ອາດໄດ້ຮັບຜົນກະທົບປະມານ 25 ເຄື່ອງເທົ່ານັ້ນ”
ໃນການໂຈມຕີທີ່ Huntress ກວດພົບ ຜູ້ໂຈມຕີໄດ້ເປີດໃຊ້ຄຳສັ່ງ PowerShell ເພື່ອສຳຫຼວດ Domain ພາຍໃນຂອງ Windows ຈາກນັ້ນຈຶ່ງສົ່ງຂໍ້ມູນດັ່ງກ່າວໄປທີ່ webhook.
ຂໍ້ມູນທີ່ຖືກສົ່ງອອກໄປ ລວມເຖິງຜົນລັບຈາກຄຳສັ່ງຕໍ່ໄປນີ້:
- whoami– ສະແດງຊື່ຜູ້ໃຊ້ງານຢູ່ໃນປັດຈຸບັນ;
- net user /domain– ສະແດງລາຍການບັນຊີຜູ້ໃຊ້ທັງໝົດໃນໂດເມນຂອງ Windows;
- ipconfig /all– ສະແດງການຕັ້ງຄ່າຂອງເຄືອຂ່າຍສຳລັບທຸກອິນເຕີເຟສໃນລະບົບ;
ສູນຄວາມປອດໄພທາງໄຊເບີແຫ່ງຊາດເນເທີແລນ (NCSC-NL) ໄດ້ຢືນຢັນຜົນການກວດສອບຂອງທັງສອງບໍລິສັດ ພ້ອມແຈ້ງຜູ້ເບິ່ງແຍງລະບົບກ່ຽວກັບຄວາມສ່ຽງທີ່ເພີ່ມຂຶ້ນ ເນື່ອງຈາກມີ PoC exploit ຖືກເຜີຍແຜ່ອອກມາແລ້ວ.
NCSC-NL ລະບຸ ໃນປະກາດເຕືອນວ່າ “NCSC ໄດ້ຮັບຂໍ້ມູນຈາກພັນທະມິດທີ່ເຊື່ອຖືໄດ້ວ່າ ພົບການໂຈມຕີທີ່ໃຊ້ປະໂຫຍດຈາກຊ່ອງໂຫວ່ CVE-2025-59287 ໃນ ວັນທີ 24 ຕຸລາ 2025”
“ໂດຍປົກກະຕິບໍລິການ WSUS ບໍ່ຄວນຖືກເປີດໃຫ້ເຂົ້າເຖິງໄດ້ຈາກອິນເຕີເນັດ ແລະ ຂະນະນີ້ມີ PoC exploit ຖືກເຜີຍແຜ່ອອກສູ່ສາທາລະນະແລ້ວ ຊຶ່ງເພີ່ມຄວາມສ່ຽງຕໍ່ການຖືກໂຈມຕີຫຼາຍຂຶ້ນ”
Microsoft ໄດ້ຈັດລະດັບຄວາມສ່ຽງຊ່ອງໂຫວ່ CVE-2025-59287 ວ່າ “ມີແນວໂນ້ມທີ່ຈະຖືກໂຈມຕີສູງ” ຊຶ່ງໝາຍຄວາມວ່າເປັນເປົ້າໝາຍທີ່ໜ້າສົນໃຈສຳລັບຜູ້ໂຈມຕີ ຢ່າງໃດກໍ່ຕາມ ຍັງບໍ່ໄດ້ມີການອັບເດດຄຳແນະນຳເພື່ອຢືນຢັນວ່າມີການໂຈມຕີເກີດຂຶ້ນຈິງແລ້ວ.
ເອກະສານອ້າງອີງ:
- https://www.bleepingcomputer.com/news/security/microsoft-releases-windows-server-emergency-updates-for-critical-wsus-rce-flaw/
- https://www.i-secure.co.th/2025/10/microsoft-%e0%b8%ad%e0%b8%ad%e0%b8%81%e0%b9%81%e0%b8%9e%e0%b8%95%e0%b8%8a%e0%b9%8c%e0%b8%89%e0%b8%b8%e0%b8%81%e0%b9%80%e0%b8%89%e0%b8%b4%e0%b8%99%e0%b8%aa%e0%b8%b3%e0%b8%ab%e0%b8%a3%e0%b8%b1%e0%b8%9a/
ລາຍການຮູບ
