Microsoft Patch Tuesday มิถุนายน 2025 แก้ไข Zero-Day ที่ถูกโจมตี พร้อมช่องโหว่ 66 จุด

June 11, 2025 Cybersecurity, Microsoft, Products

Microsoft ปล่อยอัปเดตความปลอดภัยแก้ไขช่องโหว่ 66 จุด รวมถึง Zero-Day ที่ถูกโจมตีจริงใน WebDAV และ Zero-Day ที่เปิดเผยสาธารณะใน Windows SMB Client พร้อมช่องโหว่ Critical อีก 10 จุด

Credit: alexmillos/ShutterStock

Microsoft ประกาศ Patch Tuesday ประจำเดือนมิถุนายน 2025 พร้อมการอัปเดตความปลอดภัยสำหรับช่องโหว่ทั้งหมด 66 จุด ซึ่งรวมถึงช่องโหว่ที่ถูกโจมตีจริงหนึ่งจุดและอีกหนึ่งจุดที่ถูกเปิดเผยต่อสาธารณะ การอัปเดตครั้งนี้แก้ไขช่องโหว่ระดับ Critical จำนวน 10 จุด โดย 8 จุดเป็นช่องโหว่ Remote Code Execution และอีก 2 จุดเป็นช่องโหว่ Elevation of Privilege ช่องโหว่ที่ได้รับการแก้ไขแบ่งตามประเภทดังนี้:

  • 25 จุด Remote Code Execution Vulnerabilities
  • 17 จุด Information Disclosure Vulnerabilities
  • 13 จุด Elevation of Privilege Vulnerabilities
  • 6 จุด Denial of Service Vulnerabilities
  • 3 จุด Security Feature Bypass Vulnerabilities
  • 2 จุด Spoofing Vulnerabilities

ซึ่งยังไม่รวมช่องโหว่ใน Mariner, Microsoft Edge และ Power Automate ที่แก้ไขไปแล้วเมื่อต้นเดือน

ช่องโหว่ Zero-Day ที่ถูกโจมตีจริงคือ CVE-2025-33053 ในระบบ Web Distributed Authoring and Versioning (WebDAV) ซึ่งเป็นช่องโหว่ Remote Code Execution ที่ Check Point Research ค้นพบและรายงานว่าถูกกลุ่ม APT ชื่อ “Stealth Falcon” ใช้โจมตีแบบ Zero-Day ในเดือนมีนาคม 2025 โดยเป้าหมายเป็นบริษัทด้านป้องกันประเทศในตุรกี ผู้โจมตีใช้เทคนิคที่ไม่เคยเปิดเผยมาก่อนในการ execute ไฟล์ที่โฮสต์บน WebDAV Server ที่ควบคุมได้ โดยการจัดการ working directory ของเครื่องมือ Windows ที่มีอยู่แล้วในระบบ ช่องโหว่ Zero-Day ที่สองคือ CVE-2025-33073 ใน Windows SMB Client ซึ่งเป็นช่องโหว่ Elevation of Privilege ที่ผู้โจมตีสามารถใช้ได้รับสิทธิ์ SYSTEM บนอุปกรณ์ที่มีช่องโหว่ โดยการควบคุมการเข้าถึงที่ไม่เหมาะสมใน Windows SMB ทำให้ผู้โจมตีที่ได้รับอนุญาตสามารถยกระดับสิทธิ์ผ่านเครือข่ายได้

สำหรับผู้ดูแลระบบ Microsoft แนะนำให้ติดตั้งอัปเดตความปลอดภัยโดยเร็วที่สุด โดยเฉพาะอย่างยิ่งสำหรับช่องโหว่ที่ถูกโจมตีจริงใน WebDAV ซึ่งต้องการให้ผู้ใช้งานคลิกที่ WebDAV URL ที่ถูกสร้างขึ้นเป็นพิเศษ ขณะที่ช่องโหว่ใน Windows SMB Client สามารถลดความเสี่ยงได้โดยการบังคับใช้ server-side SMB signing ผ่าน Group Policy แม้ว่าจะมีการอัปเดตแล้วก็ตาม การอัปเดตครั้งนี้ยังครอบคลุมผลิตภัณฑ์หลากหลายรวมถึง Microsoft Office, Windows Services ต่างๆ, Visual Studio และระบบอื่นๆ ที่เกี่ยวข้อง

ที่มา: https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2025-patch-tuesday-fixes-exploited-zero-day-66-flaws/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Thales เคียงข้างธุรกิจการเงินไทย ยกระดับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ตามข้อกำหนดของ ธปท., คปภ. และ ก.ล.ต.

ในยุคดิจิทัลที่เทคโนโลยีทางการเงินพัฒนาไปอย่างรวดเร็ว ภัยคุกคามทางไซเบอร์ก็ทวีความซับซ้อนและรุนแรงขึ้นเป็นเงาตามตัว สำหรับสถาบันการเงิน ธุรกิจประกันภัย และผู้ประกอบธุรกิจในตลาดทุนไทย การสร้างระบบรักษาความมั่นคงปลอดภัยที่แข็งแกร่งไม่ได้เป็นเพียงแค่ทางเลือกเพื่อปกป้องธุรกิจเท่านั้น แต่เป็น “หน้าที่สำคัญและมาตรฐานทางกฎหมาย” ที่ต้องปฏิบัติตามอย่างเคร่งครัด

ServiceNow จับมือ Accenture เปิดตัวบริการ AI ยกระดับ Enterprise Risk Modernization และ Security Operations

ServiceNow และ Accenture ร่วมมือเปิดตัวแพลตฟอร์มบริหารจัดการความเสี่ยงและความมั่นคงปลอดภัยแบบดั้งเดิม ไปสู่การใช้ Agentic AI โดยมีเป้าหมายหลักในการขจัดอุปสรรคสำคัญสองประการที่ขัดขวางการทำ Enterprise Risk Modernization ได้แก่ ค่าใช้จ่ายและความซับซ้อนในการย้ายออกจากแพลตฟอร์ม Cybersecurity แบบเก่า

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand