TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Microsoft และ CISA ออกคำเตือนเกี่ยวกับช่องโหว่ Zero-click บน Windows Shell ที่กำลังถูกใช้โจมตีจริง โดยช่องโหว่นี้เกิดจากแพตช์ที่แก้ไขไม่สมบูรณ์จากเดือนกุมภาพันธ์ที่ผ่านมา
ช่องโหว่ดังกล่าวมีรหัส CVE-2026-32202 เป็นช่องโหว่ประเภท Authentication Coercion บน Windows Shell ที่ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความอ่อนไหวบนระบบที่มีช่องโหว่ผ่านการ Spoofing บนเครือข่ายได้ โดย Microsoft ได้อัปเดตสถานะของช่องโหว่นี้เป็น “exploitation detected” และ CISA ได้เพิ่มช่องโหว่นี้เข้าสู่ Known Exploited Vulnerabilities catalog พร้อมกำหนดเส้นตายให้หน่วยงานรัฐบาลกลางของสหรัฐฯ แก้ไขภายในวันที่ 12 พฤษภาคมนี้
ช่องโหว่ CVE-2026-32202 เกิดจากการแพตช์ที่ไม่สมบูรณ์ของช่องโหว่ CVE-2026-21510 ซึ่ง Microsoft แก้ไขไปในรอบ Patch Tuesday เดือนกุมภาพันธ์ โดยช่องโหว่เดิมเป็นหนึ่งใน 6 ช่องโหว่ Zero-day ที่ถูกใช้โจมตีจริง และทีมวิจัยจาก Akamai ตรวจพบว่ากลุ่มแฮกเกอร์ APT28 (หรือ Fancy Bear) ของรัสเซียได้ใช้ช่องโหว่ดังกล่าวโจมตียูเครนและประเทศในสหภาพยุโรป โดยเริ่มจากอีเมล Phishing ที่แนบไฟล์ LNK อันตรายเพื่อ Bypass ระบบป้องกันอย่าง Microsoft Defender SmartScreen และรันโค้ดอันตรายจากระยะไกล
ทีมวิจัยจาก Akamai ค้นพบช่องโหว่ใหม่นี้ขณะทดสอบแพตช์เดือนกุมภาพันธ์ โดยพบว่าแม้แพตช์จะป้องกัน Remote Code Execution และการ Bypass SmartScreen ได้สำเร็จ แต่ยังคงเปิดช่องให้เครื่องเหยื่อส่ง Net-NTLMv2 Hash (ข้อมูล Authentication) ไปยังเซิร์ฟเวอร์ของผู้โจมตีโดยอัตโนมัติผ่านไฟล์ LNK ที่ถูก Parse ทำให้ผู้โจมตีสามารถสวมรอยเป็นผู้ใช้งาน ขโมยข้อมูลสำคัญ และเข้าถึงเครือข่ายของเหยื่อได้ ผู้ดูแลระบบควรอัปเดตแพตช์ล่าสุดโดยด่วน
ที่มา: https://www.theregister.com/2026/04/29/microsoft_zero_click_exploit/
