Silverfort เผยช่องโหว่ร้ายใน Netlogon กระทบตัวควบคุมโดเมน Windows 

รายงานฉบับใหม่ที่เผยแพร่โดยบริษัทด้านความมั่นคงปลอดภัยระบบยืนยันตัวตนแบบรวมศูนย์ Silverfort เปิดเผยช่องโหว่ DoS ที่ไม่เคยเปิดเผยมาก่อนในโปรโตคอล Netlogon ของ Microsoft ซึ่งอาจเปิดโอกาสให้เครื่องที่มีสิทธิ์ต่ำทำให้ตัวควบคุมโดเมน (domain controller) ของ Windows ล่มจากระยะไกล ส่งผลให้บริการหลักของ Active Directory หยุดชะงัก

ช่องโหว่นี้มีชื่อว่า “NOTLogon” และได้รับหมายเลขช่องโหว่ CVE-2025-47978 โดย Microsoft ได้ออกแพตช์แก้ไขแล้วในอัปเดต Patch Tuesday เมื่อวันที่ 8 กรกฎาคมที่ผ่านมา

Netlogon เป็นองค์ประกอบสำคัญของเครือข่าย Windows ซึ่งอิงกับโดเมน โดยมีหน้าที่จัดการการตรวจสอบสิทธิ์ผ่านช่องทางที่ปลอดภัยและการตรวจสอบข้อมูลประจำตัวแบบ pass-through ช่องโหว่นี้เกิดจากข้อบกพร่องในการจัดการฟีเจอร์การตรวจสอบสิทธิ์ใหม่ที่ชื่อว่า Network Ticket Logon ซึ่งเปิดตัวในช่วงปลายปี 2024

ช่องโหว่นี้เกิดจากวิธีที่การเรียก RPC NetrLogonSamLogonEx ประมวลผลอินพุตที่ผิดรูปในบัฟเฟอร์ AdditionalTicket ของโครงสร้างการยืนยันตัวตนด้วย Kerberos ticket โดยนักวิจัยของ Silverfort พบว่า หากส่ง ticket ที่ว่างเปล่าหรือผิดรูปไปยังตัวควบคุมโดเมน อาจทำให้กระบวนการ LSASS ของเครื่องล่ม และนำไปสู่การรีบูตระบบทั้งหมด

แม้ว่า NOTLogon จะไม่เปิดทางให้ผู้โจมตีสามารถยกระดับสิทธิ์หรือขโมยข้อมูลประจำตัวได้ แต่สามารถถูกใช้ในการโจมตีแบบ DoS ที่ร้ายแรงได้ โดยการมุ่งเป้าไปที่กระบวนการความมั่นคงปลอดภัยหลัก ทำให้ไม่สามารถเข้าสู่ระบบ บังคับใช้นโยบาย หรือเข้าถึงระบบสำคัญขององค์กรได้ ตามรายงานของ Silverfort การโจมตีนี้ไม่ต้องใช้สิทธิ์พิเศษใด ๆ — เพียงแค่มีการเข้าถึงเครือข่ายขั้นพื้นฐานและบัญชีเครื่อง (machine account) ที่ถูกต้อง ซึ่งผู้ใช้ที่มีสิทธิ์ต่ำหลายรายสามารถสร้างได้ตามค่าเริ่มต้นในสภาพแวดล้อมของ Active Directory

ที่น่าสนใจคือ วิธีการค้นพบช่องโหว่นี้อาจเป็นหัวข้อของบทความแยกได้เลย เพราะเกี่ยวข้องกับปัญญาประดิษฐ์ โดยนักวิจัยได้ค้นพบ NOTLogon ผ่านวิธีการใหม่ที่ใช้ AI ช่วย ด้วยการใช้โมเดลภาษาขนาดใหญ่เพื่อเปรียบเทียบความแตกต่างระหว่างเวอร์ชันเก่าและใหม่ของสเปค Netlogon และความเปลี่ยนแปลงในการนำไปใช้งาน จากนั้น AI ชี้นำให้นักวิจัยทำการตรวจสอบขั้นตอนการจัดการ ticket ใหม่ จนนำไปสู่การทดลองที่แสดงให้เห็นว่าการส่ง ticket ที่ผิดรูปสามารถทำให้ตัวควบคุมโดเมนล่มได้โดยสมบูรณ์

เพื่อรับมือกับภัยคุกคามนี้ Silverfort เรียกร้องให้องค์กรต่าง ๆ รีบติดตั้งอัปเดตความมั่นคงปลอดภัยของ Microsoft ประจำเดือนกรกฎาคม 2025 ทันทีหากยังไม่ได้ทำ นอกจากนี้ ยังแนะนำให้องค์กรตรวจสอบการใช้งานบัญชีเครื่อง จำกัดผู้ที่สามารถสร้างบัญชีเครื่องได้ และแบ่งส่วนการเข้าถึงเครือข่ายเพื่อป้องกันตัวควบคุมโดเมนจากเวิร์กสเตชันที่อาจถูกเจาะได้

ที่มา: https://siliconangle.com/2025/07/08/silverfort-uncovers-critical-netlogon-flaw-impacting-windows-domain-controllers/