Microsoft Patch Tuesday มิถุนายน 2025 แก้ไข Zero-Day ที่ถูกโจมตี พร้อมช่องโหว่ 66 จุด

June 11, 2025 Cybersecurity, Microsoft, Products

Microsoft ปล่อยอัปเดตความปลอดภัยแก้ไขช่องโหว่ 66 จุด รวมถึง Zero-Day ที่ถูกโจมตีจริงใน WebDAV และ Zero-Day ที่เปิดเผยสาธารณะใน Windows SMB Client พร้อมช่องโหว่ Critical อีก 10 จุด

Credit: alexmillos/ShutterStock

Microsoft ประกาศ Patch Tuesday ประจำเดือนมิถุนายน 2025 พร้อมการอัปเดตความปลอดภัยสำหรับช่องโหว่ทั้งหมด 66 จุด ซึ่งรวมถึงช่องโหว่ที่ถูกโจมตีจริงหนึ่งจุดและอีกหนึ่งจุดที่ถูกเปิดเผยต่อสาธารณะ การอัปเดตครั้งนี้แก้ไขช่องโหว่ระดับ Critical จำนวน 10 จุด โดย 8 จุดเป็นช่องโหว่ Remote Code Execution และอีก 2 จุดเป็นช่องโหว่ Elevation of Privilege ช่องโหว่ที่ได้รับการแก้ไขแบ่งตามประเภทดังนี้:

  • 25 จุด Remote Code Execution Vulnerabilities
  • 17 จุด Information Disclosure Vulnerabilities
  • 13 จุด Elevation of Privilege Vulnerabilities
  • 6 จุด Denial of Service Vulnerabilities
  • 3 จุด Security Feature Bypass Vulnerabilities
  • 2 จุด Spoofing Vulnerabilities

ซึ่งยังไม่รวมช่องโหว่ใน Mariner, Microsoft Edge และ Power Automate ที่แก้ไขไปแล้วเมื่อต้นเดือน

ช่องโหว่ Zero-Day ที่ถูกโจมตีจริงคือ CVE-2025-33053 ในระบบ Web Distributed Authoring and Versioning (WebDAV) ซึ่งเป็นช่องโหว่ Remote Code Execution ที่ Check Point Research ค้นพบและรายงานว่าถูกกลุ่ม APT ชื่อ “Stealth Falcon” ใช้โจมตีแบบ Zero-Day ในเดือนมีนาคม 2025 โดยเป้าหมายเป็นบริษัทด้านป้องกันประเทศในตุรกี ผู้โจมตีใช้เทคนิคที่ไม่เคยเปิดเผยมาก่อนในการ execute ไฟล์ที่โฮสต์บน WebDAV Server ที่ควบคุมได้ โดยการจัดการ working directory ของเครื่องมือ Windows ที่มีอยู่แล้วในระบบ ช่องโหว่ Zero-Day ที่สองคือ CVE-2025-33073 ใน Windows SMB Client ซึ่งเป็นช่องโหว่ Elevation of Privilege ที่ผู้โจมตีสามารถใช้ได้รับสิทธิ์ SYSTEM บนอุปกรณ์ที่มีช่องโหว่ โดยการควบคุมการเข้าถึงที่ไม่เหมาะสมใน Windows SMB ทำให้ผู้โจมตีที่ได้รับอนุญาตสามารถยกระดับสิทธิ์ผ่านเครือข่ายได้

สำหรับผู้ดูแลระบบ Microsoft แนะนำให้ติดตั้งอัปเดตความปลอดภัยโดยเร็วที่สุด โดยเฉพาะอย่างยิ่งสำหรับช่องโหว่ที่ถูกโจมตีจริงใน WebDAV ซึ่งต้องการให้ผู้ใช้งานคลิกที่ WebDAV URL ที่ถูกสร้างขึ้นเป็นพิเศษ ขณะที่ช่องโหว่ใน Windows SMB Client สามารถลดความเสี่ยงได้โดยการบังคับใช้ server-side SMB signing ผ่าน Group Policy แม้ว่าจะมีการอัปเดตแล้วก็ตาม การอัปเดตครั้งนี้ยังครอบคลุมผลิตภัณฑ์หลากหลายรวมถึง Microsoft Office, Windows Services ต่างๆ, Visual Studio และระบบอื่นๆ ที่เกี่ยวข้อง

ที่มา: https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2025-patch-tuesday-fixes-exploited-zero-day-66-flaws/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Synology ชูยุทธศาสตร์ “Private AI” พลิกโฉมการจัดการข้อมูลองค์กร พร้อมเปิดตัวนวัตกรรมใหม่ในงาน COMPUTEX 2026 พร้อมบุกตลาดทั่วโลก [PR]

นายฟิลิป หว่อง ประธานกรรมการและประธานเจ้าหน้าที่บริหาร (CEO) ของ Synology กล่าวว่า ปัจจุบันข้อมูลกลายเป็นหัวใจสำคัญของทุกองค์กร และ AI กำลังเข้ามามีบทบาทสำคัญในการเปลี่ยนแปลงวิธีการทำงานและการดำเนินธุรกิจ

หัวเว่ย คลาวด์ ชูแนวคิด Full-Stack Intelligence ก้าวต่อไปของการเปลี่ยนผ่านสู่องค์กร Cloud-Native อัจฉริยะ [PR]

หัวเว่ย คลาวด์ ตอกย้ำความสำคัญของแนวคิด Full-Stack Intelligence ในฐานะปัจจัยสำคัญที่ขับเคลื่อนการเปลี่ยนผ่านสู่การเป็นองค์กร Cloud-Native โดยองค์กรทั่วโลกต่างเร่งผสานเทคโนโลยี AI ระบบประมวลผล การจัดเก็บข้อมูล เครือข่าย และบริการคลาวด์เข้าด้วยกัน เพื่อเร่งสร้างนวัตกรรมและเสริมขีดความสามารถในการแข่งขันในยุค AI

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand