เตือนด่วน! ช่องโหว่ Windows Netlogon ถูกใช้โจมตีจริง เสี่ยงโดนยึด Domain Controller

หน่วยงานด้านความมั่นคงไซเบอร์ของเบลเยียม หรือ Centre for Cybersecurity Belgium (CCB) ออกมาแจ้งเตือนว่า ขณะนี้แฮกเกอร์เริ่มใช้ประโยชน์จากช่องโหว่ร้ายแรงในระบบ Windows Netlogon เพื่อโจมตีองค์กรจริงแล้ว พร้อมเรียกร้องให้ผู้ดูแลระบบรีบติดตั้งแพตช์โดยเร็วที่สุด

ช่องโหว่นี้ถูกติดตามในรหัส CVE-2026-41089 และถูกแก้ไขไปแล้วในอัปเดต Patch Tuesday ประจำเดือนพฤษภาคม 2026 ของ Microsoft โดยบริษัทระบุว่าเป็นช่องโหว่แบบ Stack-based Buffer Overflow ในบริการ Windows Netlogon ซึ่งอาจเปิดทางให้ผู้โจมตีสามารถรันโค้ดจากระยะไกล (Remote Code Execution หรือ RCE) ได้โดยไม่ต้องมีสิทธิ์เข้าถึงระบบมาก่อน

Netlogon เป็นบริการสำคัญของ Windows Server ที่ทำหน้าที่ตรวจสอบสิทธิ์ผู้ใช้งานและบริการต่างๆ ภายในเครือข่ายองค์กรที่ใช้ระบบ Domain Controller หากถูกเจาะได้สำเร็จ ผู้โจมตีอาจสามารถเข้าควบคุมระบบสำคัญขององค์กรได้ทันที

Microsoft อธิบายว่า ผู้โจมตีสามารถส่งคำขอเครือข่ายที่ถูกออกแบบพิเศษไปยัง Windows Server ที่ทำหน้าที่เป็น Domain Controller หากโจมตีสำเร็จ ระบบ Netlogon จะจัดการคำขอดังกล่าวผิดพลาด จนเปิดทางให้รันโค้ดอันตรายบนเครื่องเป้าหมายได้ โดยไม่จำเป็นต้องล็อกอินหรือมีสิทธิ์เข้าถึงล่วงหน้า

ช่องโหว่นี้ส่งผลกระทบต่อ Windows Server ทุกเวอร์ชันที่ยังได้รับการสนับสนุน รวมถึง Windows Server 2025 รุ่นล่าสุดด้วย

แม้ Microsoft จะยังไม่ได้อัปเดตสถานะอย่างเป็นทางการว่าเริ่มถูกใช้โจมตีแล้วหรือไม่ แต่ทาง CCB ระบุชัดเจนว่า พบการโจมตีจริงในโลกออนไลน์แล้ว พร้อมเตือนว่า ช่องโหว่นี้มีระดับความรุนแรงสูงมาก โดยมีคะแนน CVSS 9.8 เต็ม 10

“รีบติดตั้งแพตช์โดยเร็วที่สุด” คือคำเตือนสำคัญจากหน่วยงานด้านความปลอดภัยไซเบอร์ของเบลเยียม

ข้อมูลระบุว่า ช่องโหว่นี้ถูกค้นพบโดยทีม Windows Attack Research & Protection (WARP) ซึ่งเป็นทีมวิจัยด้าน Offensive Security ภายใน Microsoft เอง

ขณะเดียวกัน ข่าวนี้ยังเกิดขึ้นท่ามกลางกระแสการเปิดเผยช่องโหว่ Zero-day หลายรายการใน Windows ช่วงที่ผ่านมา โดยนักวิจัยนิรนามที่ใช้ชื่อว่า “Nightmare Eclipse” ได้เผยแพร่ช่องโหว่สำคัญหลายตัว รวมถึง PoC สำหรับบางช่องโหว่ออกสู่สาธารณะด้วย

ก่อนหน้านี้ Microsoft เคยตอบโต้กรณีดังกล่าวด้วยท่าทีแข็งกร้าว พร้อมระบุว่าบริษัทจะร่วมมือกับหน่วยงานบังคับใช้กฎหมาย หากพบว่ามีการกระทำที่สร้างความเสียหายจริงต่อผู้ใช้งาน

ที่มา