ນັກວິໄຈດ້ານຄວາມປອດໄພ Chaotic Eclipse ຫຼື Nightmare-Eclipse ຜູ້ທີ່ເຄີຍເປີດເຜີຍຊ່ອງໂຫວ່ຂອງ Microsoft Defender ກ່ອນໜ້ານີ້ ໄດ້ກັບມາເປີດເຜີຍຊ່ອງໂຫວ່ Zero-day ເພີ່ມອີກ 2 ລາຍການ ຊຶ່ງກ່ຽວຂ້ອງກັບການ bypass BitLocker ແລະ ການຍົກລະດັບສິດໃນ Windows Collaborative Translation Framework (CTFMON).

ນັກວິໄຈໄດ້ຕັ້ງຊື່ລະຫັດຊ່ອງໂຫວ່ດ້ານຄວາມປອດໄພນີ້ວ່າ YellowKey ແລະ GreenPlasma ຕາມລຳດັບ ໂດຍລະບຸວ່າເປັນໜຶ່ງໃນການຄົ້ນພົບທີ່ໜ້າສົນໃຈທີ່ສຸດເທົ່າທີ່ເຄີຍພົບເຫັນມາ ໂດຍປຽບທຽບການ bypass BitLocker ນີ້ວ່າເຮັດໜ້າທີ່ຄ້າຍຄື Backdoor ເນື່ອງຈາກຊ່ອງໂຫວ່ນີ້ປະກົດສະເພາະໃນ Windows Recovery Environment (WinRE) ຊຶ່ງເປັນໂຄງສ້າງໃນຕົວທີ່ອອກແບບມາເພື່ອແກ້ໄຂບັນຫາ ແລະ ປົວແປງລະບົບປະຕິບັດການໃນກໍລະນີທີ່ບໍ່ສາມາດບູດ (Boot) ເຄື່ອງໄດ້ຕາມປົກກະຕິ.

YellowKey ເຮັດໃຫ້ມີຜົນກະທົບຕໍ່ Windows 11 ແລະ Windows Server 2022/2025 ໂດຍຜູ້ໂຈມຕີຈະສໍາເນົາຟາຍ FsTx ລົງໃນຊ່ອງ USB ຫຼື EFI partition ຈາກນັ້ນສຽບ USB ເຂົ້າເຄື່ອງ Windows ເປົ້າໝາຍທີ່ເປີດ BitLocker ໄວ້ ແລ້ວເປີດເຄື່ອງເຂົ້າສູ່ WinRE ແລະ ກົດປຸ່ມ CTRL ຄ້າງໄວ້ເພື່ອເອີ້ນ Command Prompt ອອກມາ.

ນັກວິໄຈຢືນຢັນເຖິງແມ່ນວ່າຈະເປີດໃຊ້ງານ TPM+PIN ກໍ່ບໍ່ສາມາດປ້ອງກັນການໂຈມຕີນີ້ໄດ້ ຂະນະທີ່ Will Dormann ນັກວິໄຈດ້ານຄວາມປອດໄພອີກຄົນລະບຸວ່າ ຊ່ອງໂຫວ່ນີ້ເກີດຈາກຟາຍໃນ USB ສາມາດໄປສັ່ງລຶບ ຫຼື ແກ້ໄຂຟາຍເທິງ drive ອື່ນໄດ້ ຈົນເຮັດໃຫ້ໄດ້ສິດ cmd.exe ໃນຂະນະທີ່ BitLocker ຖືກປົດລັອກແລ້ວ.

ບັນຫາສຳຄັນຄືໄດເລັກທໍລີ (Directory) \System Volume Information\FsTx ມີຄວາມສາມາດໃນການແກ້ໄຂ contents ລະຫວ່າງ volume (Cross-volume modification) ຊຶ່ງ Dormann ລະບຸວ່າເປັນຊ່ອງໂຫວ່ຮ້າຍແຮງທີ່ຖືກເບິ່ງຂ້າມ.

Chaotic Eclipse ລາຍງານຊ່ອງໂຫວ່ການຍົກລະດັບສິດເທິງ Windows CTFMON ທີ່ເຮັດໃຫ້ຜູ້ໃຊ້ງານທົ່ວໄປໄດ້ຮັບສິດສູງສຸດລະດັບ SYSTEM ຜ່ານການສ້າງສ່ວນ memory section ແບບອິດສະຫຼະ ເຖິງແມ່ນວ່າໂຄດ (Code) PoC ທີ່ປ່ອຍອອກມານັ້ນຍັງບໍ່ສົມບູນ ແຕ່ຊ່ອງໂຫວ່ນີ້ຊ່ວຍໃຫ້ຜູ້ໃຊ້ທີ່ບໍ່ມີສິດ ສາມາດສ້າງ memory section object ໃນໄດເລັກທໍລີທີ່ SYSTEM ສາມາດຂຽນໄດ້ ຊຶ່ງອາດຈະນຳໄປສູ່ການຄວບຄຸມ services ຫຼື ໄດເວີທີ່ມີສິດສູງໄດ້.

ການເປີດເຜີຍຂໍ້ມູນເທື່ອນີ້ເກີດຂຶ້ນຫຼັງຈາກການເຜີຍແຜ່ຊ່ອງໂຫວ່ Zero-day ຂອງ Defender 3 ລາຍການ ທີ່ຊື່ວ່າ BlueHammer, RedSun, UnDefend ໃນເດືອນກ່ອນ ໂດຍນັກວິໄຈສະແດງຄວາມບໍ່ພໍໃຈກັບການຈັດການກະບວນການເປີດເຜີຍຊ່ອງໂຫວ່ຂອງ Microsoft ຊຶ່ງຊ່ອງໂຫວ່ເຫຼົ່ານັ້ນກຳລັງຖືກນຳໄປໃຊ້ໃນການໂຈມຕີຈິງແລ້ວ.

ໃນຂະນະທີ່ BlueHammer ໄດ້ຮັບໝາຍເລກຢ່າງເປັນທາງການຄື CVE-2026-33825 ແລະ ໄດ້ຮັບການແກ້ໄຂໂດຍ Microsoft ໃນເດືອນແລ້ວນີ້ ແຕ່ນັກວິໄຈລະບຸວ່າ RedSun ຖືກລັກແກ້ໄຂແບບງຽບໆ ໂດຍບໍ່ມີການອອກປະກາດແຈ້ງເຕືອນຫຍັງ.

ກຸ່ມນັກວິໄຈໄດ້ສົ່ງຂໍ້ຄວາມເຖິງບໍລິສັດ Microsoft ໂດຍວິຈານວ່າແນວທາງການດຳເນີນງານຂອງບໍລິສັດອາດຈະສົ່ງຜົນໃຫ້ສະຖານະການຄວາມຮຸນແຮງຂອງບັນຫາເພີ່ມຫຼາຍຂຶ້ນ ພ້ອມທັງແຈ້ງເຕືອນວ່າການເປີດເຜີຍຂໍ້ມູນຊ່ອງໂຫວ່ຂອງລະບົບຈະຍັງເປັນໄປຢ່າງຕໍ່ເນື່ອງ ຈົນກວ່າທາງ Microsoft ຈະມີວິທີຕອບສະໜອງ ແລະ ຈັດການກັບສະຖານະການດັ່ງກ່າວດ້ວຍຄວາມຮັບຜິດຊອບ. ນອກຈາກນີ້, ນັກວິໄຈຍັງລະບຸວ່າຈະມີການເປີດເຜີຍຂໍ້ມູນສຳຄັນຄັ້ງໃຫຍ່ໃຫ້ກັບ Microsoft ໃນໄລຍະ Patch Tuesday ທີ່ຈະເຖິງນີ້ໃນເດືອນ ມິຖຸນາ 2026.

ທາງດ້ານໂຄສົກຂອງ Microsoft ລະບຸວ່າ ບໍລິສັດມີພັນທະສັນຍາໃນການກວດສອບບັນຫາຄວາມປອດໄພທີ່ໄດ້ຮັບລາຍງານ ແລະ ຈະເລັ່ງອັບເດດອຸປະກອນເພື່ອປົກປ້ອງລູກຄ້າໂດຍໄວທີ່ສຸດ ພ້ອມທັງຢືນຢັນຄວາມສະໜັບສະໜູນຕໍ່ແນວທາງການເປີດເຜີຍຊ່ອງໂຫວ່ແບບປະສານງານຮ່ວມກັນ (Coordinated Disclosure) ເພື່ອໃຫ້ໝັ້ນໃຈວ່າບັນຫາຕ່າງໆ ຈະໄດ້ຮັບການກວດສອບ ແລະ ແກ້ໄຂຢ່າງຮອບຄອບກ່ອນທີ່ຈະຖືກເປີດເຜີຍສູ່ສາທາລະນະ.

ເອກະສານອ້າງອີງ:
1. https://thehackernews.com/2026/05/windows-zero-days-expose-bitlocker.html
2. https://www.i-secure.co.th/2026/05/%e0%b8%8a%e0%b9%88%e0%b8%ad%e0%b8%87%e0%b9%82%e0%b8%ab%e0%b8%a7%e0%b9%88-zero-day-%e0%b8%82%e0%b8%ad%e0%b8%87-windows-%e0%b9%80%e0%b8%9c%e0%b8%a2%e0%b9%83%e0%b8%ab%e0%b9%89%e0%b9%80%e0%b8%ab%e0%b9%87/