Microsoft ได้เปิดตัวช่องโหว่ศูนย์ใหม่ทั้งหมดห้าวัน (CVES (CVE)) ในแพตช์ที่ห้าในปี 2568 โดยมีช่องโหว่และการเปิดเผย (CVE) มากกว่า 70 ตัวเมื่อมีการอธิบายถึงปัญหาของบุคคลที่สาม

ตามลำดับตัวเลขศูนย์วันนี้ของเดือนนี้มีดังนี้:

• CVE-201025-30400, สิทธิ์สูง (EOP) ช่องโหว่ในห้องสมุด Microsoft DWM Core;
• CVE-201025-30397 ส่งผลให้เกิดการทุจริตหน่วยความจำของช่องโหว่การดำเนินการรหัสระยะไกล (RCE) ในเอ็นจิ้นสคริปต์
• CVE-20125-32701, ช่องโหว่ EOP ในไดรเวอร์ระบบบันทึกระบบบันทึกสาธารณะของ Windows (CLFs);
• CVE-20125-32706 ข้อบกพร่อง EOP ที่สองใน CLFs;
• CVE-20125-32709, ปัญหา EOP ในไดรเวอร์คุณสมบัติเสริม Winder (AFD.SYS)

Microsoft แสดงรายการ CVE ทั้งห้าซึ่งถูกเอาเปรียบในป่า แต่ยังไม่เปิดเผยต่อสาธารณะ พวกเขาทั้งหมดได้รับการจัดอันดับว่าเป็นความรุนแรงที่สำคัญและทั้งสองบันทึกข้อบกพร่องของเครื่องยนต์สคริปต์ด้วยการจัดอันดับ CVSS 7.8

Mike Walters ประธานและผู้ร่วมก่อตั้ง Patch Management Action1 กล่าวว่าด้วยความสำคัญในการคำนวณปัญหา CLFs ทั้งสองนี้เป็นอันตรายโดยเฉพาะอย่างยิ่ง CLFs เป็นองค์ประกอบสำคัญที่ให้องค์ประกอบสำคัญสำหรับแอปพลิเคชันผู้ใช้และเคอร์เนลโหมดและใช้อย่างกว้างขวางโดยบริการระบบต่างๆ

“ ผู้โจมตีใช้ประโยชน์จากช่องโหว่เหล่านี้สามารถเพิ่มสิทธิ์ในระดับระบบและให้การควบคุมรหัสโดยพลการติดตั้งมัลแวร์ปรับเปลี่ยนข้อมูลหรือปิดใช้งานการป้องกันความปลอดภัย” วอลเตอร์สกล่าว

“ ข้อบกพร่องเหล่านี้ก่อให้เกิดความเสี่ยงร้ายแรงเนื่องจากความต้องการความซับซ้อนต่ำและสิทธิพิเศษน้อยที่สุดโดยเฉพาะอย่างยิ่งเมื่อได้รับการเอารัดเอาเปรียบ [and] แม้ว่าในปัจจุบันไม่มีรหัสการแสวงหาผลประโยชน์สาธารณะ แต่การมีอยู่ของการโจมตีเชิงรุกแสดงให้เห็นว่าแคมเปญเป้าหมายอาจเกี่ยวข้องกับภัยคุกคามขั้นสูง (APTs) ขั้นสูง

“องค์กรควรประเมินและแก้ไขช่องโหว่เหล่านี้ทันทีเพื่อป้องกันการประนีประนอมที่อาจเกิดขึ้นองค์กรใด ๆ ที่ใช้ระบบ Windows (ข้ามองค์กรรัฐบาลการศึกษาหรือภาคผู้บริโภค) สามารถเปิดเผยได้

CVE-201025-30400 ในห้องสมุด DWM Core ควรอยู่ในระดับสูงในรายการแพตช์สำหรับผู้จัดการความปลอดภัย Kev Breen ผู้อำนวยการอาวุโสฝ่ายวิจัยภัยคุกคามที่ Immersive เขาอธิบายว่า: “หากถูกเอาเปรียบสิ่งนี้จะช่วยให้ผู้โจมตีได้รับอนุญาตระดับระบบในโฮสต์ที่ได้รับผลกระทบด้วยสิทธิ์นี้ผู้โจมตีจะสามารถควบคุมโฮสต์ได้อย่างเต็มที่รวมถึงเครื่องมือรักษาความปลอดภัยและบัญชีผู้ใช้ซึ่งอาจอนุญาตให้เข้าถึงระดับโดเมนได้

“CVE ถูกทำเครื่องหมายว่าเป็นการเอารัดเอาเปรียบที่ตรวจพบโดยทีม Microsoft ซึ่งหมายความว่าควรใช้แพตช์ทันทีในฐานะกลุ่มภัยคุกคาม (รวมถึงสาขา ransomware) ในไม่ช้าจะใช้ประโยชน์จากรายละเอียดนี้เมื่อกลายเป็นสาธารณะ”

Brann กล่าวเพิ่มเติมว่าเมื่อสิ่งนี้เกิดขึ้นทีมเครือข่ายและนักล่าภัยคุกคามควรทำงานอย่างรวดเร็วเพื่อตรวจสอบระบบการประนีประนอม (IOCs) เพื่อให้แน่ใจว่าพวกเขาจะไม่ตีพวกเขาในหน้าต่างระหว่างที่นักแสดงภัยคุกคามเริ่มพัฒนาบนเครื่องชั่งและแพทช์ถูกปล่อยออกมา

Ben Hopkins นักวิจัยด้านข่าวกรองไซเบอร์ของ Breen ดำเนินการในวันที่เหลือในเครื่องยนต์สคริปต์กฎสำหรับ CVE-201205-30397 ใน AFD.Sysys, CVE-201025-32709

“ เมื่อเอ็นจิ้นสคริปต์ของ Microsoft อยู่ในหน่วยความจำไม่ถูกต้องในกรณีนี้มันจะนำไปสู่การยกระดับของสิทธิพิเศษที่ดำเนินการโดยผู้โจมตีความเสี่ยงการทุจริตหน่วยความจำของเครื่องยนต์สคริปต์เกิดขึ้น” เขาอธิบาย

“ ช่องโหว่ที่เฉพาะเจาะจงนี้มีอยู่…เกี่ยวข้องกับการเข้าถึงทรัพยากรโดยใช้ (‘ประเภทความสับสน’) ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้รหัสผ่านเครือข่ายพิมพ์ความสับสนในบริบทนี้เกิดขึ้นเมื่อโปรแกรมถือว่าเป็นส่วนหนึ่งของข้อมูลที่แตกต่างจากที่จริงแล้ว

สำหรับฆราวาสซึ่งหมายความว่าหลังจากได้รับสิทธิพิเศษระดับระบบผู้คุกคามสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้อย่างง่ายดายและมองหาโอกาสที่จะย้ายไปยังส่วนที่มีค่าอื่น ๆ ของเครือข่ายเหยื่อ

การหันไปหาปัญหาที่ส่งผลกระทบต่อ AFD.sys ซึ่งเป็นไดรเวอร์เคอร์เนลหน้าต่างหลักที่รองรับการทำงานของซ็อกเก็ตเครือข่ายโดยการเชื่อมโยงจาก Winsock (Sockets Windows API) ในพื้นที่ผู้ใช้ในขณะที่ไดรเวอร์เครือข่ายระดับล่างในฮอปกินส์อธิบายว่าการเข้าถึงหน่วยความจำของหน่วยความจำ ในการเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำ หน่วยความจำในการเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำ เข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงหน่วยความจำเพื่อเข้าถึงข้อมูลเพื่อส่งผลกระทบต่อทัศนคติและการเข้าถึงหน่วยความจำ ให้ความสามารถในการเพิ่มสิทธิ์

ในทั้งสองกรณีนี่หมายถึงการได้รับสิทธิพิเศษระดับระบบนักแสดงที่ถูกคุกคามสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้อย่างง่ายดายและมองหาโอกาสในการย้ายไปยังส่วนที่มีค่าอื่น ๆ ของเครือข่ายเหยื่อ

การเปิดเผยข้อมูลสาธารณะเพิ่มเติมอีกสองครั้งในวันนี้ (13 พฤษภาคม) แต่ยังไม่ได้ถูกโจมตีในเวลาที่เขียน เหล่านี้คือ CVE-20125-26685 ซึ่งเป็นช่องโหว่ที่หลอกลวงของ Microsoft Defender และ CVE-20125-32702 ซึ่งเป็นช่องโหว่ RCE ใน Visual Studio ทั้งสองนี้มีความรุนแรงที่สำคัญโดยมีคะแนน CVSS 6.5 และ 7.8 ตามลำดับ