ที่มาภาพ: The Hacker News
Microsoft Defender เผชิญช่องโหว่ศูนย์วันใหม่ ‘RoguePlanet…
⚡ สรุป 30 วิ
นักวิจัย Chaotic Eclipse เผยโค้ด PoC ของช่องโหว่ zero‑day ‘RoguePlanet’ ใน Microsoft Defender รุ่นล่าสุด เป็น race condition…
Lead – นักวิจัยด้านความปลอดภัยที่ใช้ชื่อ “Chaotic Eclipse” (หรือ “Nightmare‑Eclipse”) เผยโค้ดพิสูจน์แนวคิด (PoC) ของช่องโหว่ zero‑day ใหม่ใน Microsoft Defender ชื่อว่า RoguePlanet บนระบบปฏิบัติการ Windows ที่ได้รับการอัปเดตล่าสุด ; การเปิดเผยนี้ทำให้ผู้ดูแลระบบและผู้ใช้ Windows ต้องเร่งตรวจสอบและเตรียมรับมือกับความเสี่ยงที่อาจทำให้ผู้โจมตีได้ system access อย่างเต็มที่
Overview
ช่องโหว่ RoguePlanet ถูกจัดประเภทเป็น race condition ซึ่งโดยธรรมชาติแล้วมักทำงานได้แบบ “hit‑or‑miss” ผู้วิจัยอ้างว่าได้ทดสอบหลายครั้งจนสามารถทำให้สำเร็จได้ **100 % ภายใต้สภาพแวดล้อมที่ใช้ Windows รุ่นล่าสุดที่มีการอัปเดต Defender ล่าสุดแล้ว การเปิดเผย PoC ผ่านบัญชี GitHub ใหม่ชื่อ “MSNightmare” ทำให้ชุมชนด้านความปลอดภัยสามารถตรวจสอบและวิเคราะห์รายละเอียดได้อย่างรวดเร็ว
ตามข้อมูลจากบทความของ The Hacker News การเปิดเผยครั้งนี้เป็นครั้งที่สองที่นักวิจัย Chaotic Eclipse ใช้ชื่อ “MSNightmare” บน GitHub เพื่อเผยแพร่ข้อมูลเกี่ยวกับช่องโหว่ของ Defender ก่อนหน้านี้เคยมีการเปิดเผยช่องโหว่ที่ทำให้ผู้โจมตีสามารถข้ามการตรวจจับของ Defender ได้ แต่รายละเอียดเชิงเทคนิคของ RoguePlanet ยังคงแตกต่างและซับซ้อนกว่าเดิม
Technical Details
จากการวิเคราะห์ของนักวิจัยพบว่า RoguePlanet ใช้ประโยชน์จากการทำงานของ Microsoft Defender ที่มีการจัดสรรทรัพยากรแบบขนาน (parallel) เพื่อสแกนไฟล์และกระบวนการต่าง ๆ ขณะเดียวกันมีการเรียกใช้ฟังก์ชันตรวจสอบสิทธิ์ที่อาจถูกเรียกซ้ำหลายครั้งจนทำให้เกิดช่องโหว่ของ race condition
- **ประเภทของช่องโหว่: race condition ในโมดูลสแกนของ Defender
- **ระดับความสำเร็จของ PoC: 100 % ตามที่ผู้วิจัยระบุใน GitHub
- **แพลตฟอร์มเผยแพร่: บัญชี GitHub “MSNightmare”
การทำงานของ PoC นั้นต้องอาศัยการสร้างไฟล์ที่มีชื่อซ้ำกันและการเรียกใช้ API ของ Defender อย่างต่อเนื่องเพื่อให้เงื่อนไขของ race condition เกิดขึ้น ซึ่งเมื่อสำเร็จแล้วกระบวนการตรวจสอบของ Defender จะถูกบรรลุโดยไม่ได้ตรวจจับไฟล์หรือกระบวนการที่เป็นอันตราย ทำให้ผู้โจมตีสามารถรันโค้ดที่มีสิทธิ์ระดับระบบได้
Disclosure & Response
ถึงแม้ว่า PoC จะถูกเปิดเผยต่อสาธารณะแล้ว Microsoft ยังไม่ได้ออกแถลงการณ์อย่างเป็นทางการเกี่ยวกับช่องโหว่นี้ในขณะเขียนบทความ ข้อมูลจากแหล่งข่าวระบุว่าบริษัทมักจะทำการตรวจสอบและประเมินผลความรุนแรงของช่องโหว่ก่อนออกแพตช์ และอาจจะมีการปล่อยอัปเดตความปลอดภัยในรูปแบบ “Patch Tuesday” ที่กำหนดในเดือนถัดไป
ชุมชนความปลอดภัยหลายกลุ่มได้เริ่มตรวจสอบผลกระทบของ RoguePlanet ต่อระบบ Windows ที่ใช้งาน Defender เวอร์ชันล่าสุด และเตือนผู้ใช้ให้ตรวจสอบว่ามีการอัปเดตล่าสุดหรือไม่ ทั้งนี้การเปิดเผย PoC ก่อนที่แพตช์จะออกมานั้นอาจเพิ่มความเสี่ยงให้กับผู้ที่ไม่ได้อัปเดตระบบเป็นประจำ
Potential Impact
หาก RoguePlanet ถูกนำไปใช้โดยผู้ไม่ประสงค์ดี สามารถทำให้ผู้โจมตีได้รับ system access บนเครื่อง Windows ที่มี Defender เวอร์ชันที่อัปเดตแล้วได้โดยตรง การได้สิทธิ์ระดับระบบทำให้ผู้โจมตีสามารถติดตั้งมัลแวร์เพิ่มเติม เปลี่ยนแปลงการตั้งค่าความปลอดภัย หรือขโมยข้อมูลที่สำคัญได้
การที่ช่องโหว่นี้เป็น zero‑day หมายความว่าผู้ใช้และองค์กรไม่มีวิธีการป้องกันที่ชัดเจนจนกว่าจะมีการปล่อยแพตช์อย่างเป็นทางการ ส่งผลให้อาจเกิดการโจมตีแบบ “targeted” หรือ “wide‑scale” ขึ้นอยู่กับว่ามีผู้ประสงค์ร้ายใด ๆ คัดลอก PoC และพัฒนาต่อยอดเป็นเวอร์ชันที่ทำงานได้เสถียรมากขึ้นหรือไม่
Mitigation & Recommendations
จนกว่าจะมีการอัปเดตจาก Microsoft ผู้ดูแลระบบควรดำเนินมาตรการป้องกันเสริมเพื่อจำกัดความเสี่ยงจาก RoguePlanet อย่างน้อย ได้แก่
- ตรวจสอบให้แน่ใจว่าระบบ Windows มีการอัปเดตล่าสุดจาก Windows Update ทั้งระบบปฏิบัติการและ Microsoft Defender
- พิจารณาใช้ผลิตภัณฑ์ป้องกันเพิ่มเติมจากผู้ให้บริการที่สามเพื่อเป็นชั้นป้องกันระดับที่สอง (defense‑in‑depth)
- จำกัดสิทธิ์การเข้าถึงไฟล์และโฟลเดอร์สำคัญโดยใช้การกำหนดสิทธิ์แบบ least‑privilege
- ติดตามข่าวสารจาก Microsoft Security Advisory และช่องทางของชุมชนความปลอดภัยเกี่ยวกับการปล่อยแพตช์หรือวิธีการบรรเทาผลกระทบ
การดำเนินการเหล่านี้จะช่วยลดโอกาสที่ผู้โจมตีจะใช้ RoguePlanet เพื่อทำการเข้าถึงระบบได้อย่างเต็มที่จนกว่าจะแก้ไขช่องโหว่โดยตรง
Summary
การเปิดเผย PoC ของช่องโหว่ RoguePlanet ที่เป็น zero‑day ใน Microsoft Defender ทำให้ผู้ใช้ Windows ต้องเร่งตรวจสอบและอัปเดตระบบเพื่อป้องกันการถูกโจมตีโดยอาจได้ system access อย่างเต็มที่ การตอบสนองของ Microsoft ยังอยู่ในขั้นตอนการประเมินและอาจมีการปล่อยแพตช์ในเดือนถัดไป ผู้ดูแลระบบควรใช้มาตรการป้องกันเสริมและเฝ้าระวังข่าวสารเพื่อบรรเทาผลกระทบที่อาจเกิดขึ้น.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Microsoft Defender RoguePlanet Zero-Day Grants SYSTEM Access on Updated Windows
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 10 มิถุนายน 2569 เวลา 12:22
