วันนี้ (11 กุมภาพันธ์ 2026 เวลาไทย) เป็นช่วงที่ผู้ใช้ทั่วโลกเริ่มได้รับอัปเดตความปลอดภัยรอบ Patch Tuesday เดือนกุมภาพันธ์ 2026 ซึ่ง Microsoft ปล่อยแพตช์เมื่อวันที่ 10 กุมภาพันธ์ 2026 ตามเวลาสหรัฐฯ โดยรอบนี้แก้ช่องโหว่ความปลอดภัยรวม 58 รายการ และที่น่ากังวลที่สุดคือมี 6 ช่องโหว่แบบ Zero-day ที่ถูกใช้โจมตีจริงแล้ว (actively exploited) และในจำนวนนี้มี 3 รายการที่ถูกเปิดเผยต่อสาธารณะก่อนมีแพตช์ (publicly disclosed) ด้วย
นอกจากการอุดช่องโหว่ รอบนี้ยังมีอีกประเด็นที่แอดมินองค์กรควรจับตา คือการเริ่ม โรลเอาต์ ใบรับรอง Secure Boot ชุดใหม่ เพื่อทดแทนใบรับรองชุดปี 2011 ที่จะเริ่มหมดอายุช่วง มิถุนายน 2026 โดย Microsoft ระบุว่าจะทยอยปล่อยแบบเป็นขั้นเป็นตอน (phased rollout) และมี “ข้อมูลกำหนดเป้าหมาย (targeting data)” อยู่ใน Windows quality updates เพื่อเช็กว่าอุปกรณ์พร้อมรับใบรับรองใหม่แล้วหรือไม่
สรุป ตัวเลขสำคัญ ของ Patch Tuesday รอบนี้
- แก้ช่องโหว่รวม 58 รายการ (ตามการนับของบางสำนักข่าว/สรุป Patch Tuesday)
- มี Zero-day ที่ถูกโจมตีจริง 6 รายการ
- ช่องโหว่ระดับ Critical 5 รายการ (รวม EoP และ Information Disclosure)
- แจกแจงตามหมวดหลัก ๆ: Elevation of Privilege 25, Security Feature Bypass 5, RCE 12, Information Disclosure 6, DoS 3, Spoofing 7
หมายเหตุ: บางผู้ให้บริการด้านความปลอดภัยอาจนับจำนวน CVE ต่างกันเล็กน้อย (เช่น ตัดบางรายการ/นับรวม Chromium หรือไม่) เพราะวิธี “นับรวม/ไม่นับรวม” อัปเดตจากฝั่งอื่น (เช่น Chromium/Edge) แตกต่างกันได้
รายละเอียด 6 Zero-day ที่ถูกใช้โจมตีจริง ใน Patch Tuesday เดือนกุมภาพันธ์ 2026
ตารางด้านล่างคือ “แกนหลัก” ที่ทีม IT / Security ควรโฟกัสก่อน เพราะเป็นช่องโหว่ที่ถูกโจมตีแล้วจริง (ไม่ใช่แค่พบแต่ยังไม่ถูกใช้)
| CVE | องค์ประกอบที่กระทบ | ประเภท/ผลกระทบหลัก | ต้องทำอะไรทันที |
|---|---|---|---|
| CVE-2026-21510 | Windows Shell | Security Feature Bypass (เสี่ยงโดนหลอกเปิดลิงก์/ชอร์ตคัต) | รีบอัปเดต Windows และเข้มงวดเรื่องไฟล์ .lnk / shortcut จากแหล่งไม่รู้จัก |
| CVE-2026-21513 | MSHTML Framework | Security Feature Bypass | อัปเดต Windows ให้ครบทุกเครื่อง โดยเฉพาะเครื่องที่ยังมี legacy components ถูกเรียกใช้งาน |
| CVE-2026-21514 | Microsoft Word / Office | Security Feature Bypass (เกี่ยวกับ OLE mitigations) | เน้นอัปเดต Office/Microsoft 365 Apps และย้ำผู้ใช้เรื่องไฟล์เอกสารแนบ |
| CVE-2026-21519 | Desktop Window Manager (DWM) | Elevation of Privilege (อาจขึ้นสิทธิ SYSTEM) | อัปเดต Windows และจัดลำดับความสำคัญให้เครื่องที่มีผู้ใช้หลายคน/เครื่องในองค์กร |
| CVE-2026-21525 | Remote Access Connection Manager (RasMan) | Denial of Service | อัปเดต Windows และเฝ้าระวังเครื่องที่มีการใช้การเชื่อมต่อ remote บ่อย ๆ |
| CVE-2026-21533 | Remote Desktop Services | Elevation of Privilege (ยกระดับสิทธิ) | อัปเดต Windows เร่งด่วนในกลุ่มเครื่องที่เปิดใช้ RDS/Remote และทบทวนสิทธิ local admin |
1) CVE-2026-21510: Windows Shell Security Feature Bypass
Microsoft ระบุว่าช่องโหว่นี้ถูกโจมตีจริงแล้ว และ “เงื่อนไขสำคัญ” คือคนร้ายต้องหลอกให้เหยื่อเปิดลิงก์หรือไฟล์ชอร์ตคัตที่ถูกสร้างมาเป็นพิเศษ เพื่อ หลบการเตือนด้านความปลอดภัย (แนวคิดที่หลายฝ่ายคาดว่าเกี่ยวข้องกับการข้ามกลไกเตือนแบบ Mark of the Web)
สิ่งที่องค์กรควรทำควบคู่กับการลงแพตช์ คือย้ำผู้ใช้เรื่อง “ไฟล์ทางลัด/ลิงก์แปลก ๆ” จากอีเมล แชต หรือไฟล์แชร์ โดยเฉพาะไฟล์ที่ดูเหมือนเอกสารหรือโฟลเดอร์ แต่จริง ๆ คือชอร์ตคัต/ลิงก์พาไปโหลดอย่างอื่น
2) CVE-2026-21513: MSHTML Framework Security Feature Bypass
เป็นอีกช่องโหว่ที่ถูกใช้โจมตีจริง และยังถูกเปิดเผยต่อสาธารณะก่อนมีแพตช์ด้วย (publicly disclosed) แต่รายละเอียดเชิงลึกของวิธีโจมตียังไม่ได้ถูกอธิบายมากนักในเอกสารสาธารณะ
ในมุมปฏิบัติ “ทางออกที่ชัดที่สุด” คือทำให้แน่ใจว่าเครื่อง Windows ได้รับ cumulative update รอบนี้ครบ โดยเฉพาะเครื่องที่ยังมีคอมโพเนนต์เก่า/แอปภายในที่อาจเรียกใช้ MSHTML อยู่
3) CVE-2026-21514: Microsoft Word Security Feature Bypass (เกี่ยวกับ OLE mitigations)
ช่องโหว่นี้ถูกโจมตีจริง และ Microsoft ระบุว่าเกี่ยวข้องกับการ bypass การป้องกัน OLE mitigations ใน Microsoft 365 / Office โดยเงื่อนไขโจมตีคือผู้โจมตีต้องส่งไฟล์ Office ให้เหยื่อ และหลอกให้เปิดไฟล์นั้น (แต่ไม่สามารถโจมตีผ่าน Preview Pane ตามที่ Microsoft ระบุ)
สำหรับองค์กร แนะนำให้จัดลำดับความสำคัญการอัปเดตในกลุ่มผู้ใช้ที่รับไฟล์จากภายนอกเยอะ (เช่น ฝ่ายขาย งานจัดซื้อ HR) และทบทวนนโยบายการเปิดไฟล์แนบจากแหล่งที่ไม่เชื่อถือ
4) CVE-2026-21519: Desktop Window Manager Elevation of Privilege
Microsoft ระบุว่าถูกโจมตีจริง และหากโจมตีสำเร็จอาจยกระดับสิทธิขึ้นไปถึงระดับ SYSTEM ได้ ซึ่งทำให้ความเสี่ยง “บานปลาย” ได้ง่ายในเครื่องที่คนร้ายเข้าถึงได้แล้วระดับหนึ่ง (เช่น มีบัญชีในเครื่อง หรือมี foothold จากช่องทางอื่น)
5) CVE-2026-21525: RasMan Denial of Service (พบหลักฐาน exploit ในคลังมัลแวร์)
จุดที่น่าสนใจของ CVE นี้ คือทีม 0patch / ACROS Security ระบุว่าพบ exploit ใน “คลังมัลแวร์สาธารณะ” ตั้งแต่ช่วงปลายปี 2025 และเคยออกไมโครแพตช์มาก่อน โดยผู้ก่อตั้ง Mitja Kolsek ให้ข้อมูลกับ BleepingComputer ว่าเจอ exploit ตอนตามรอยช่องโหว่อีกตัว
แม้จะเป็น DoS (ไม่ได้ชี้ชัดว่าเป็นการยึดเครื่อง) แต่การที่พบ exploit ในที่สาธารณะทำให้ “โอกาสถูกนำไปใช้ซ้ำ” สูงขึ้น ดังนั้นลงแพตช์ให้เร็วคือทางเลือกที่ปลอดภัยที่สุด
6) CVE-2026-21533: Remote Desktop Services Elevation of Privilege (CrowdStrike ชี้ว่าถูกใช้เพิ่มสิทธิ admin)
ช่องโหว่นี้ถูกพบโดยทีมวิจัยของ CrowdStrike และมีการให้รายละเอียดเชิงพฤติกรรมการโจมตีว่า exploit ที่พบสามารถนำไปสู่การ เพิ่มผู้ใช้ใหม่เข้า Administrators group ได้ ผ่านการแก้ค่าคอนฟิกบางส่วนของบริการ
ถ้าองค์กรมีเครื่องที่เปิดใช้ Remote Desktop / RDS โดยเฉพาะในสภาพแวดล้อมที่มีผู้ใช้จำนวนมาก หรือมีเครื่องปลายทางที่เข้าถึงจากหลายเครือข่าย แนะนำให้ “ยกระดับความเร่งด่วน” ในการอัปเดตทันที และตรวจทานเหตุการณ์เกี่ยวกับการเพิ่มบัญชี admin ที่ผิดปกติ
Secure Boot Certificates ปี 2011 ใกล้หมดอายุ: ทำให้ Patch Tuesday รอบนี้ถึงสำคัญกว่าเดิม
นอกเหนือจากการอุดช่องโหว่ Microsoft ยังเดินหน้ากระบวนการใหญ่ คือ เปลี่ยนใบรับรอง Secure Boot รุ่นเก่า (ชุดปี 2011) ที่กำลังหมดอายุในปี 2026 ไปเป็นชุดใหม่ (Microsoft ระบุแนวทางและมี playbook ให้เตรียมความพร้อม)
ประเด็นนี้สำคัญ เพราะ Secure Boot คือชั้นความปลอดภัยที่ช่วยตรวจสอบ “ความถูกต้องของกระบวนการบูต” ตั้งแต่ระดับ firmware/bootloader และยังเกี่ยวโยงกับซอฟต์แวร์สาย anti-cheat หรือระบบที่ต้องพึ่งพาความน่าเชื่อถือของสภาพแวดล้อมตอนบูตด้วย ในทางปฏิบัติ ผู้ใช้ส่วนใหญ่ไม่ต้องทำอะไรเป็นพิเศษถ้าอัปเดต Windows สม่ำเสมอ แต่สำหรับเครื่องเฉพาะทาง/ระบบที่ปรับแต่งเยอะ (รวมถึงบางเครื่องในองค์กร) อาจต้องตามคู่มือและทดสอบความเข้ากันได้กับ firmware ของผู้ผลิต
ที่ “โยงกับ Patch Tuesday ก.พ. 2026” โดยตรง คือใน release notes ของ Windows 11 ระบุชัดว่า quality updates รอบนี้ใส่ targeting data เพื่อคัดกรองว่าอุปกรณ์มีสัญญาณการอัปเดตที่ “เพียงพอและปลอดภัย” ก่อนถึงจะทยอยส่งใบรับรองชุดใหม่ให้ เพื่อหลีกเลี่ยงความเสี่ยงจากการโรลเอาต์แบบรวดเดียว
ผู้ใช้ทั่วไป ควรทำอะไรบ้าง (แบบเข้าใจง่าย)
- กดอัปเดต Windows ทันที
รอบนี้มี zero-day ที่ถูกโจมตีจริงหลายตัว “การรอ” คือเพิ่มความเสี่ยงโดยตรง โดยเฉพาะถ้าคุณใช้เครื่องทำงาน รับไฟล์จากอีเมล หรือดาวน์โหลดไฟล์จากเว็บเป็นประจำ - ระวังไฟล์ลิงก์/ชอร์ตคัต และไฟล์ Office จากแหล่งไม่รู้จัก
เพราะอย่างน้อย 2 ประเภทการโจมตีที่กล่าวถึงชัด คือการหลอกเปิดลิงก์/ชอร์ตคัต และการหลอกเปิดไฟล์ Office - ถ้าคุณยังใช้ Windows 10
แพตช์ความปลอดภัยรอบนี้บน Windows 10 จะผูกกับช่องทางอัปเดตที่เกี่ยวข้อง (เช่น Extended Security Updates ในบางกรณี) และยังพัวพันกับประเด็น Secure Boot certificates ด้วย ดังนั้นฝั่งองค์กรควรตรวจสถานะการรับอัปเดตให้ชัด
สำหรับแอดมิน/องค์กร: โฟกัสการแพตช์แบบไหนถึงคุ้มสุด
- จัดลำดับ “เครื่องที่มี Remote Desktop/RDS” ก่อน เพราะ CVE-2026-21533 เป็น EoP ที่มีสัญญาณการนำไปใช้จริง และมีคำอธิบายเชิงพฤติกรรมจากฝั่งผู้ค้นพบ
- กลุ่มผู้ใช้ที่รับไฟล์ภายนอกหนัก ๆ (Word/Office) ควรได้รับแพตช์เร็ว เพราะ CVE-2026-21514 ต้องอาศัย social engineering หลอกให้เปิดไฟล์ ซึ่งเป็นรูปแบบที่เกิดขึ้นจริงในองค์กรบ่อยมาก
- มอง Patch Tuesday รอบนี้เป็น “ทั้ง Security + Platform maintenance” เพราะมีหัวข้อ Secure Boot certificates เข้ามาเกี่ยว ทำให้การทดสอบวง rollout ภายในองค์กรมีความหมายมากขึ้น (โดยเฉพาะเครื่องที่มีข้อกำหนดด้านความปลอดภัย/Compliance)
อัปเดตจากผู้ผลิตอื่น ในเดือนกุมภาพันธ์ 2026 (ภาพรวม)
นอกจาก Microsoft แล้ว เดือนนี้ยังมีหลายค่ายปล่อยแพตช์ด้านความปลอดภัย เช่น Adobe, Cisco, Fortinet, และ SAP (รวมถึงหลายรายอื่น) ซึ่งเป็นสัญญาณว่า “รอบเดือนนี้คึกคัก” และทีม IT ควรวางตารางแพตช์แบบไม่ชนกันเพื่อไม่ให้กระทบงานโปรดักชัน
สรุปส่งท้าย
Patch Tuesday เดือนกุมภาพันธ์ 2026 เป็นรอบที่ “ควรอัปเดต” เพราะมี zero-day ที่ถูกใช้โจมตีจริงถึง 6 รายการ และยังพ่วงประเด็น Secure Boot certificates ที่จะเริ่มมีผลในปี 2026 ทำให้การอัปเดตครั้งนี้ไม่ใช่แค่ปิดรูโหว่ แต่เป็นการเตรียมระบบให้พร้อมกับการเปลี่ยนผ่านด้านความปลอดภัยในระดับแพลตฟอร์มด้วย
ที่มา: BleepingComputer
