Microsoft ได้ปล่อยอัปเดตความปลอดภัยประจำเดือนกรกฎาคม 2025 หรือ Microsoft Patch Tuesday ซึ่งครอบคลุมการแก้ไขช่องโหว่จำนวนมากถึง 137 รายการ โดยหนึ่งในนั้นเป็น Zero-Day ที่ถูกเปิดเผยต่อสาธารณะแล้วใน Microsoft SQL Server และยังมีช่องโหว่ระดับ “วิกฤติ” (Critical) อีก 14 รายการ ที่รวมถึงช่องโหว่ Remote Code Execution (RCE) ถึง 10 จุด
สรุปช่องโหว่ที่ถูกแก้ไขใน Microsoft Patch Tuesday เดือนนี้
| ประเภทช่องโหว่ | จำนวน |
|---|---|
| Elevation of Privilege | 53 |
| Security Feature Bypass | 8 |
| Remote Code Execution (RCE) | 41 |
| Information Disclosure | 18 |
| Denial of Service (DoS) | 6 |
| Spoofing | 4 |
อธิบายเพิ่มเติม: ช่องโหว่แต่ละประเภทคืออะไร?
สำหรับผู้อ่านทั่วไปที่อาจไม่คุ้นเคยกับศัพท์เทคนิคด้านความปลอดภัย ต่อไปนี้คือคำอธิบายแบบเข้าใจง่ายของแต่ละหมวดหมู่ช่องโหว่ที่ Microsoft แก้ไขในรอบนี้:
- Elevation of Privilege (ยกระดับสิทธิ์):
แฮกเกอร์สามารถใช้ช่องโหว่นี้เพื่อเพิ่มสิทธิ์ของตนเองในระบบ เช่น จากผู้ใช้ทั่วไปกลายเป็นผู้ดูแลระบบ เพื่อเข้าถึงข้อมูลหรือควบคุมระบบได้มากขึ้น - Security Feature Bypass (เลี่ยงระบบความปลอดภัย):
เป็นการข้ามระบบป้องกันที่ออกแบบไว้ เช่น BitLocker, SmartScreen หรือระบบตรวจสอบสิทธิ์ ทำให้แฮกเกอร์เจาะผ่านได้โดยไม่ถูกสกัด - Remote Code Execution – RCE (สั่งรันโค้ดจากระยะไกล):
หนึ่งในช่องโหว่ที่อันตรายที่สุด เพราะแฮกเกอร์สามารถรันโปรแกรมอันตรายบนเครื่องของเหยื่อได้โดยไม่ต้องสัมผัสตัวเครื่อง เช่น แค่เปิดเอกสาร Word ที่ฝังโค้ดไว้ - Information Disclosure (ข้อมูลรั่วไหล):
ระบบอาจเปิดเผยข้อมูลที่ควรเป็นความลับ เช่น ข้อมูลในหน่วยความจำที่ยังไม่ถูกลบออก หรือข้อมูลผู้ใช้โดยไม่ได้ตั้งใจ - Denial of Service – DoS (ทำให้ระบบล่ม):
การใช้ช่องโหว่เพื่อทำให้ระบบหยุดทำงานหรือไม่สามารถให้บริการได้ เช่น ทำให้เครื่องค้างหรือรีสตาร์ทตลอดเวลา - Spoofing (ปลอมตัว):
การปลอมแปลงข้อมูลหรือตัวตนเพื่อหลอกระบบหรือผู้ใช้ เช่น ปลอมอีเมลจากฝ่าย IT เพื่อหลอกขอรหัสผ่าน หรือปลอมลิงก์เว็บไซต์เพื่อหลอกให้คลิก
Zero-Day ที่ถูกเปิดเผยใน SQL Server บน Microsoft Patch Tuesday
ช่องโหว่ที่มีความอันตรายที่สุดในอัปเดตนี้คือ CVE-2025-49719 – ช่องโหว่ประเภท Information Disclosure ใน Microsoft SQL Server ที่เปิดโอกาสให้แฮกเกอร์ที่ไม่ได้รับสิทธิ์เข้าถึงสามารถขโมยข้อมูลจากหน่วยความจำที่ยังไม่ได้ใช้งานผ่านเครือข่ายได้
Microsoft แนะนำให้ผู้ดูแลระบบติดตั้ง SQL Server เวอร์ชันล่าสุด พร้อมกับ Microsoft OLE DB Driver รุ่น 18 หรือ 19 เพื่ออุดช่องโหว่นี้โดยเร็ว
ช่องโหว่ร้ายแรงใน Microsoft Office และ SharePoint
ในเดือนนี้ Microsoft ยังแก้ไขช่องโหว่ Remote Code Execution (RCE) หลายรายการในชุด Microsoft Office ที่แฮกเกอร์สามารถโจมตีได้เพียงแค่ผู้ใช้งานเปิดเอกสาร หรือดูตัวอย่างไฟล์ใน preview pane เท่านั้น โดยช่องโหว่ที่สำคัญ ได้แก่:
- CVE-2025-49695, CVE-2025-49696, CVE-2025-49702 – RCE ใน Microsoft Office
- CVE-2025-49703, CVE-2025-49698 – RCE ใน Microsoft Word
- CVE-2025-49704 – ช่องโหว่ RCE ใน SharePoint ที่สามารถโจมตีผ่านอินเทอร์เน็ตได้ ถ้าผู้โจมตีมีบัญชีผู้ใช้งานบนระบบ
ขณะนี้ยังไม่มีแพตช์สำหรับ Microsoft Office LTSC บน Mac 2021 และ 2024 แต่ Microsoft ระบุว่าจะปล่อยอัปเดตในเร็ว ๆ นี้
ช่องโหว่ระดับฮาร์ดแวร์: AMD Transient Scheduler Attacks
อ้างอิงจากรายงานของ Microsoft พบว่ามีการเปิดเผยช่องโหว่ใหม่ 2 รายการบนซีพียู AMD ซึ่งเกี่ยวข้องกับกลไกการจัดคิวข้อมูลในระดับฮาร์ดแวร์ ได้แก่:
- CVE-2025-36357 – ช่องโหว่ใน L1 Data Queue (ระดับ Critical)
- CVE-2025-36350 – ช่องโหว่ใน Store Queue (ระดับ Critical)
ช่องโหว่เหล่านี้เป็น side-channel attack ประเภทหนึ่ง ที่อาจทำให้แฮกเกอร์สามารถลอบดึงข้อมูลจากกระบวนการอื่นได้
ผู้ผลิตอื่นที่ออกอัปเดตในเดือนกรกฎาคม 2025
นอกจาก Microsoft แล้ว ยังมีบริษัทอื่นที่ปล่อยอัปเดตความปลอดภัยในเดือนเดียวกัน ได้แก่:
- AMD: ร่วมเปิดเผยช่องโหว่ CPU จากการวิจัยของ Microsoft
- Cisco: แก้ไขปัญหา root SSH credentials ฝังมาใน Unified CM
- Fortinet: อัปเดตหลายผลิตภัณฑ์ เช่น FortiOS, FortiManager
- Google: แก้ไข zero-day (CVE-2025-6554) ใน Google Chrome
- Ivanti: แพตช์สำหรับ Connect Secure, EPMM
- SAP: เพิ่มระดับความรุนแรงของช่องโหว่ในระบบจัดการซัพพลายเออร์เป็น 10/10
คำแนะนำสำหรับผู้ดูแลระบบ
เนื่องจากมีช่องโหว่ที่เกี่ยวข้องกับระบบสำคัญอย่าง SQL Server, Office, SharePoint และ Windows Kernel จึงควรดำเนินการดังนี้:
- อัปเดตระบบปฏิบัติการและโปรแกรมให้เป็นเวอร์ชันล่าสุด
- ตรวจสอบว่า SQL Server ใช้ OLE DB Driver 18 หรือ 19 แล้ว
- หลีกเลี่ยงการเปิดไฟล์ Office จากแหล่งที่ไม่น่าไว้ใจ
- ติดตามอัปเดต BIOS หรือ Firmware สำหรับ CPU ที่อาจได้รับผลกระทบ
สรุป Microsoft Patch Tuesday เดือนกรกฎาคม 2025
ถือว่าเป็นหนึ่งในเดือนที่มีจำนวนช่องโหว่มากที่สุดในรอบปี โดยมีทั้ง Zero-Day ที่ถูกเปิดเผยสู่สาธารณะ และช่องโหว่ที่สามารถโจมตีได้ง่ายเพียงแค่เปิดเอกสาร
ที่มา: bleepingcomputer
