IBM Flashsystem

Microsoft Patch Tuesday มิถุนายน 2025 แก้ไข Zero-Day ที่ถูกโจมตี พร้อมช่องโหว่ 66 จุด

June 11, 2025 Cybersecurity, Microsoft, Products

Microsoft ปล่อยอัปเดตความปลอดภัยแก้ไขช่องโหว่ 66 จุด รวมถึง Zero-Day ที่ถูกโจมตีจริงใน WebDAV และ Zero-Day ที่เปิดเผยสาธารณะใน Windows SMB Client พร้อมช่องโหว่ Critical อีก 10 จุด

Credit: alexmillos/ShutterStock

Microsoft ประกาศ Patch Tuesday ประจำเดือนมิถุนายน 2025 พร้อมการอัปเดตความปลอดภัยสำหรับช่องโหว่ทั้งหมด 66 จุด ซึ่งรวมถึงช่องโหว่ที่ถูกโจมตีจริงหนึ่งจุดและอีกหนึ่งจุดที่ถูกเปิดเผยต่อสาธารณะ การอัปเดตครั้งนี้แก้ไขช่องโหว่ระดับ Critical จำนวน 10 จุด โดย 8 จุดเป็นช่องโหว่ Remote Code Execution และอีก 2 จุดเป็นช่องโหว่ Elevation of Privilege ช่องโหว่ที่ได้รับการแก้ไขแบ่งตามประเภทดังนี้:

  • 25 จุด Remote Code Execution Vulnerabilities
  • 17 จุด Information Disclosure Vulnerabilities
  • 13 จุด Elevation of Privilege Vulnerabilities
  • 6 จุด Denial of Service Vulnerabilities
  • 3 จุด Security Feature Bypass Vulnerabilities
  • 2 จุด Spoofing Vulnerabilities

ซึ่งยังไม่รวมช่องโหว่ใน Mariner, Microsoft Edge และ Power Automate ที่แก้ไขไปแล้วเมื่อต้นเดือน

ช่องโหว่ Zero-Day ที่ถูกโจมตีจริงคือ CVE-2025-33053 ในระบบ Web Distributed Authoring and Versioning (WebDAV) ซึ่งเป็นช่องโหว่ Remote Code Execution ที่ Check Point Research ค้นพบและรายงานว่าถูกกลุ่ม APT ชื่อ “Stealth Falcon” ใช้โจมตีแบบ Zero-Day ในเดือนมีนาคม 2025 โดยเป้าหมายเป็นบริษัทด้านป้องกันประเทศในตุรกี ผู้โจมตีใช้เทคนิคที่ไม่เคยเปิดเผยมาก่อนในการ execute ไฟล์ที่โฮสต์บน WebDAV Server ที่ควบคุมได้ โดยการจัดการ working directory ของเครื่องมือ Windows ที่มีอยู่แล้วในระบบ ช่องโหว่ Zero-Day ที่สองคือ CVE-2025-33073 ใน Windows SMB Client ซึ่งเป็นช่องโหว่ Elevation of Privilege ที่ผู้โจมตีสามารถใช้ได้รับสิทธิ์ SYSTEM บนอุปกรณ์ที่มีช่องโหว่ โดยการควบคุมการเข้าถึงที่ไม่เหมาะสมใน Windows SMB ทำให้ผู้โจมตีที่ได้รับอนุญาตสามารถยกระดับสิทธิ์ผ่านเครือข่ายได้

สำหรับผู้ดูแลระบบ Microsoft แนะนำให้ติดตั้งอัปเดตความปลอดภัยโดยเร็วที่สุด โดยเฉพาะอย่างยิ่งสำหรับช่องโหว่ที่ถูกโจมตีจริงใน WebDAV ซึ่งต้องการให้ผู้ใช้งานคลิกที่ WebDAV URL ที่ถูกสร้างขึ้นเป็นพิเศษ ขณะที่ช่องโหว่ใน Windows SMB Client สามารถลดความเสี่ยงได้โดยการบังคับใช้ server-side SMB signing ผ่าน Group Policy แม้ว่าจะมีการอัปเดตแล้วก็ตาม การอัปเดตครั้งนี้ยังครอบคลุมผลิตภัณฑ์หลากหลายรวมถึง Microsoft Office, Windows Services ต่างๆ, Visual Studio และระบบอื่นๆ ที่เกี่ยวข้อง

ที่มา: https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2025-patch-tuesday-fixes-exploited-zero-day-66-flaws/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

AWS เตรียมเปิดตลาดเอเจนต์ AI ร่วมกับ Anthropic ในสัปดาห์หน้า

มีรายงานว่า Amazon Web Services เตรียมเดินตามรอย Microsoft และ Google Cloud ด้วยการเปิดตัวตลาดเฉพาะสำหรับเอเจนต์ปัญญาประดิษฐ์ และนักพัฒนา AI รายโปรดอย่าง Anthropic ก็จะเป็นหนึ่งในพันธมิตรร่วมเปิดตัวด้วย

Amazon กำลังพิจารณาลงทุนหลายพันล้านดอลลาร์ใน Anthropic

รายงานจาก The Financial Time ระบุว่าผู้บริหารของ Amazon.com ได้ทำการหารือเกี่ยวกับความเป็นไปได้ในการลงทุนครั้งใหม่ใน Anthropic โดยอ้างแหล่งข่าวว่า การระดมทุนรอบนี้อาจมีมูลค่าหลายพันล้านดอลลาร์

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand