ภาพรวม Patch Tuesday กันยายน 2025
เมื่อวันที่ 9 กันยายน 2025 ที่ผ่านมา Microsoft ได้ปล่อยอัปเดตความปลอดภัยประจำเดือนหรือที่เรียกว่า Patch Tuesday ซึ่งในรอบนี้มีการแก้ไขช่องโหว่รวมทั้งหมด 81 รายการ โดยมีช่องโหว่ร้ายแรง (Critical) อยู่ 9 รายการ และที่น่าจับตามองคือมีการแก้ไข 2 Zero-Day ที่ถูกเปิดเผยสู่สาธารณะแล้ว
การจัดกลุ่มช่องโหว่ในครั้งนี้มีดังนี้:
- 41 ช่องโหว่ Elevation of Privilege (ยกระดับสิทธิ์)
- 2 ช่องโหว่ Security Feature Bypass
- 22 ช่องโหว่ Remote Code Execution (RCE)
- 16 ช่องโหว่ Information Disclosure
- 3 ช่องโหว่ Denial of Service (DoS)
- 1 ช่องโหว่ Spoofing
2 ช่องโหว่ Zero-Day ที่ถูกแก้ไข
1. CVE-2025-55234 – Windows SMB Elevation of Privilege
ช่องโหว่นี้อยู่ใน SMB Server ทำให้แฮกเกอร์สามารถทำ Relay Attack และยกระดับสิทธิ์ผู้ใช้ได้ หาก SMB Server ไม่ได้เปิดใช้งานการป้องกันอย่างถูกต้อง
แนะนำให้ผู้ดูแลระบบ:
- เปิดใช้งาน SMB Server Signing
- เปิดใช้งาน SMB Server Extended Protection for Authentication (EPA)
- เปิด Auditing เพื่อตรวจสอบความเข้ากันได้กับระบบเก่า ก่อนเปิดบังคับใช้จริง
2. CVE-2024-21907 – Newtonsoft.Json (SQL Server)
ช่องโหว่นี้เกิดจากการจัดการ Exceptional Conditions ที่ไม่ถูกต้องในไลบรารี Newtonsoft.Json เวอร์ชันเก่า (ก่อน 13.0.1) ที่ถูกใช้งานใน Microsoft SQL Server
แฮกเกอร์สามารถส่งข้อมูลที่ถูกออกแบบมาเฉพาะเพื่อทำให้เกิด StackOverflow Exception และทำให้ระบบ Denial of Service (DoS) ได้
Microsoft ได้รวมแพตช์ที่อัปเดต Newtonsoft.Json แล้วไว้ใน SQL Server รุ่นใหม่ที่ปล่อยในรอบนี้
ช่องโหว่ร้ายแรง (Critical) ที่น่าจับตา
ในรอบนี้มีช่องโหว่ Critical หลายจุด โดยเฉพาะกลุ่มที่เป็น Remote Code Execution (RCE) ได้แก่:
- Microsoft Office (Excel, PowerPoint, Visio, Word, SharePoint) มีช่องโหว่หลายรายการที่เปิดโอกาสให้รันโค้ดอันตรายจากไฟล์ที่สร้างขึ้นพิเศษ
- Graphics Kernel และ Windows Win32K มีช่องโหว่ RCE ที่อาจถูกใช้โจมตีผ่านการเรนเดอร์กราฟิก
- Windows NTFS และ SMB Client ที่สามารถทำให้ผู้โจมตีรันโค้ดในเครื่องเหยื่อได้
อัปเดตจากผู้พัฒนารายอื่นในเดือนกันยายน 2025
ไม่เพียงแค่ Microsoft เท่านั้น เดือนนี้ยังมีการอัปเดตจากหลายบริษัท เช่น:
- Adobe อุดช่องโหว่ SessionReaper ที่กระทบ Magento eCommerce
- Argo แก้ช่องโหว่ใน Argo CD ที่อาจทำให้ Token ระดับต่ำเข้าถึง Credential ของโปรเจกต์ได้
- Cisco ปล่อยแพตช์ให้ WebEx และ ASA
- Google อัปเดต Android กันยายน 2025 แก้ 84 ช่องโหว่ รวมถึง 2 Zero-Day
- SAP อุดช่องโหว่ร้ายแรงใน Netweaver
- Sitecore แก้ Zero-Day ที่ถูกใช้โจมตีจริง (CVE-2025-53690)
- TP-Link ยืนยัน Zero-Day ใหม่ในเราเตอร์บางรุ่น กำลังเตรียมแพตช์ให้ลูกค้าในสหรัฐ
สรุป
Patch Tuesday กันยายน 2025 ถือเป็นรอบที่ใหญ่มาก โดยรวมทั้งหมด 81 ช่องโหว่ และมี 2 Zero-Day ที่ผู้ใช้ควรรีบติดตั้งแพตช์ทันที โดยเฉพาะองค์กรที่ใช้งาน Windows SMB Server และ Microsoft SQL Server เพื่อป้องกันความเสี่ยงจากการโจมตี
สำหรับผู้ใช้ทั่วไป แนะนำให้อัปเดต Windows ผ่าน Windows Update ให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเพื่อความปลอดภัยของระบบ
ที่มา: bleepingcomputer
