นักวิจัยด้านความปลอดภัยเปิดเผยว่า มีช่องโหว่ในระบบปฏิบัติการ Windows สองรายการ — หนึ่งเป็น ช่องโหว่ Zero-Dayที่แฮกเกอร์รู้จักมาตั้งแต่ปี 2017 และอีกหนึ่งเป็น ช่องโหว่ร้ายแรง ที่ Microsoft เคยพยายามอุดแล้วแต่ไม่สำเร็จ — ซึ่งขณะนี้กำลังถูกใช้โจมตีอย่างกว้างขวางในหลายพื้นที่ทั่วอินเทอร์เน็ต
ช่องโหว่ Zero-Day ที่ถูกใช้มานานกว่า 7 ปี
ช่องโหว่นี้เพิ่งถูกค้นพบในเดือนมีนาคมที่ผ่านมาโดยบริษัท Trend Micro ซึ่งระบุว่ามันถูกใช้งานโจมตีอย่างต่อเนื่องตั้งแต่ปี 2017 โดยกลุ่ม APT (Advanced Persistent Threats) อย่างน้อย 11 กลุ่ม ซึ่งหลายกลุ่มมีความเชื่อมโยงกับรัฐชาติ
กลุ่มเหล่านี้มักจะโจมตีเป้าหมายเฉพาะ เช่น หน่วยงานรัฐบาลหรือองค์กรสำคัญ โดยใช้ช่องโหว่ซึ่งต่อมาถูกระบุชื่อว่า ZDI-CAN-25373 เพื่อฝังมัลแวร์หรือ payload ต่าง ๆ บนโครงสร้างพื้นฐานในกว่า 60 ประเทศทั่วโลก โดยประเทศที่พบมากที่สุดคือ สหรัฐฯ แคนาดา รัสเซีย และเกาหลีใต้
การปฏิบัติการโจมตีขนาดใหญ่
แม้เวลาผ่านไปกว่า 7 เดือน แต่ Microsoft ก็ยังไม่ได้ออกแพตช์แก้ไขช่องโหว่นี้ ซึ่งเกิดจากบั๊กในระบบ Windows Shortcut (.lnk) — ส่วนประกอบที่ทำให้ผู้ใช้เปิดแอปหรือไฟล์ได้อย่างรวดเร็วโดยไม่ต้องเข้าถึงตำแหน่งจริงของไฟล์นั้น
ปัจจุบันช่องโหว่นี้ได้รับรหัสใหม่ว่า CVE-2025-9491
ล่าสุดบริษัทความปลอดภัย Arctic Wolf รายงานว่าได้พบกลุ่มภัยคุกคามที่เชื่อมโยงกับจีนชื่อ UNC-6384 ใช้ช่องโหว่นี้โจมตีหลายประเทศในยุโรป โดย payload สุดท้ายที่ถูกติดตั้งคือ PlugX — มัลแวร์ประเภท Remote Access Trojan (RAT) ที่ใช้ควบคุมเครื่องจากระยะไกล
เพื่อหลบเลี่ยงการตรวจจับ มัลแวร์จะถูกเข้ารหัสแบบ RC4 และจะถูกถอดรหัสในขั้นตอนสุดท้ายของการโจมตี
“การที่มีการโจมตีเป้าหมายหลายประเทศในช่วงเวลาใกล้เคียงกัน บ่งชี้ถึงการปฏิบัติการรวบรวมข่าวกรองขนาดใหญ่ หรืออาจเป็นทีมปฏิบัติการหลายทีมที่ใช้เครื่องมือชุดเดียวกันแต่มีเป้าหมายแยกกัน” — Arctic Wolf กล่าว
จนถึงตอนนี้ยังไม่มีแพตช์ออกมา ผู้ใช้ Windows จึงเหลือทางเลือกป้องกันเพียงไม่กี่วิธี วิธีที่ดีที่สุดคือ จำกัดการทำงานของไฟล์ .lnk จากแหล่งที่ไม่น่าเชื่อถือ เช่น ปิดการทำงานอัตโนมัติของไฟล์ Shortcut ใน Windows Explorer
ช่องโหว่นี้ได้รับคะแนนความรุนแรง 7/10
ช่องโหว่อีกรายการใน Windows Server Update Services (WSUS)
ช่องโหว่อีกรายการคือ CVE-2025-59287 ซึ่งมีคะแนนความรุนแรง 9.8/10 ถูกอุดแพตช์ไปเมื่อสัปดาห์ที่ผ่านมาในอัปเดตนอกตารางของ Microsoft
ช่องโหว่นี้อยู่ในระบบ Windows Server Update Services (WSUS) — เครื่องมือที่ผู้ดูแลระบบใช้ในการติดตั้ง แพตช์ หรือลบแอปพลิเคชันบนเซิร์ฟเวอร์หลายเครื่องพร้อมกัน
Microsoft เคยพยายามอุดช่องโหว่นี้ไปแล้วใน “Patch Tuesday” เดือนตุลาคม แต่ล้มเหลว เนื่องจากโค้ด Proof-of-Concept (PoC) ที่เผยแพร่ต่อสาธารณะพิสูจน์ได้ว่าแพตช์นั้นไม่สมบูรณ์
หลังจากนั้นไม่นาน บริษัทความปลอดภัย Huntress รายงานว่าพบการโจมตีที่ใช้ช่องโหว่นี้ตั้งแต่วันที่ 23 ตุลาคม และบริษัท Eye รวมถึง Sophos ก็พบเหตุการณ์คล้ายกัน
“การโจมตีเกิดขึ้นต่อเนื่องหลายชั่วโมง โดยมุ่งเป้าไปที่เซิร์ฟเวอร์ WSUS ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต ครอบคลุมลูกค้าหลายอุตสาหกรรม และไม่ใช่การโจมตีแบบเจาะจงเป้าหมาย” — Sophos ระบุ
ยังไม่แน่ชัดว่าผู้โจมตีใช้โค้ด PoC ที่เผยแพร่ต่อสาธารณะหรือพัฒนา exploit เอง
คำแนะนำสำหรับผู้ดูแลระบบ
ผู้ดูแลระบบควรรีบตรวจสอบทันทีว่าอุปกรณ์ของตนมีความเสี่ยงต่อช่องโหว่เหล่านี้หรือไม่
โดยเฉพาะ CVE-2025-9491 ซึ่งยังไม่มีแพตช์แก้ไขจาก Microsoft และยังไม่ทราบว่าจะออกเมื่อใด
