TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Microsoft ปล่อยแพตช์ฉุกเฉินสำหรับช่องโหว่ Critical CVE-2025-59287 บน WSUS หลังจากแฮกเกอร์เริ่มใช้โจมตีจริง
ช่องโหว่ CVE-2025-59287 เป็นช่องโหว่ประเภท Remote Code Execution (RCE) ที่ส่งผลกระทบต่อ Windows Server ทุกเวอร์ชันที่เปิดใช้งาน WSUS Server role ซึ่งใช้เป็นแหล่งอัปเดตสำหรับ WSUS servers อื่นๆ ในองค์กร แฮกเกอร์สามารถโจมตีจากระยะไกลได้โดยไม่ต้องมีสิทธิ์พิเศษหรือการโต้ตอบจากผู้ใช้งาน ทำให้สามารถรันโค้ดอันตรายด้วยสิทธิ์ SYSTEM และอาจแพร่กระจายระหว่าง WSUS servers ได้
Microsoft ออก out-of-band security updates ในวันพฤหัสบดีสำหรับ Windows Server ทุกเวอร์ชันที่ได้รับผลกระทบ ครอบคลุมตั้งแต่ Windows Server 2012 ถึง Windows Server 2025 ใหม่ล่าสุด โดยแนะนำให้ผู้ดูแลระบบติดตั้งแพตช์โดยด่วน (KB5070881 สำหรับ Server 2025, KB5070879 สำหรับ version 23H2, KB5070884 สำหรับ Server 2022, KB5070883 สำหรับ Server 2019, KB5070882 สำหรับ Server 2016, KB5070886 สำหรับ Server 2012 R2 และ KB5070887 สำหรับ Server 2012) สำหรับผู้ที่ยังไม่สามารถแพตช์ได้ทันที Microsoft แนะนำ workaround โดยการปิดใช้งาน WSUS Server role ชั่วคราว
บริษัทด้านความปลอดภัย Eye Security และ Huntress รายงานพบการโจมตีจริงแล้วตั้งแต่วันที่ 23-24 ตุลาคม โดยมีระบบของลูกค้าอย่างน้อย 1 รายถูกบุกรุก แฮกเกอร์ใช้ PowerShell สำรวจข้อมูล Windows domain ผ่านคำสั่ง whoami, net user /domain และ ipconfig /all แล้วส่งข้อมูลออกไปยัง webhook แม้ว่า WSUS servers ส่วนใหญ่ไม่เปิดเผยต่อ internet แต่ Eye Security พบเซิร์ฟเวอร์ที่เสี่ยงประมาณ 2,500 เครื่องทั่วโลก รวมถึง 250 เครื่องในเยอรมนีและ 100 เครื่องในเนเธอร์แลนด์ สำนักงานความปลอดภัยไซเบอร์แห่งชาติเนเธอร์แลนด์ (NCSC-NL) ยืนยันการโจมตีและเตือนว่าความเสี่ยงเพิ่มขึ้นหลังมี proof-of-concept exploit เผยแพร่แล้ว
