Microsoft ปล่อยอัปเดตความปลอดภัย (Patch Tuesday) ประจำเดือนกรกฎาคม 2026 เพื่อแก้ไขช่องโหว่รวมทั้งหมด 570 รายการ ถือเป็นจำนวนมากที่สุดเป็นประวัติการณ์ โดยในรอบนี้มีช่องโหว่ Zero-Day จำนวน 3 รายการ แบ่งเป็นช่องโหว่ที่ถูกนำไปใช้โจมตีจริงแล้ว 2 รายการ และช่องโหว่ที่ถูกเปิดเผยรายละเอียดต่อสาธารณะอีก 1 รายการ

สำหรับ Windows 11 เวอร์ชัน 25H2 และ 24H2 ได้รับ cumulative update รหัส KB5101650 ส่วน Windows 11 เวอร์ชัน 23H2 ได้รับอัปเดต KB5099414 ขณะที่ Windows 10 Enterprise LTSC และเครื่องที่ลงทะเบียนในโครงการ Extended Security Update (ESU) ได้รับอัปเดต KB5099539

ในการอัปเดตรอบนี้ มีช่องโหว่ระดับร้ายแรง (Critical) จำนวน 59 รายการ แบ่งเป็นช่องโหว่รันโค้ดจากระยะไกล (Remote Code Execution – RCE) 48 รายการ, ช่องโหว่ยกระดับสิทธิ์ (Elevation of Privilege) 9 รายการ, ช่องโหว่หลบเลี่ยงระบบความปลอดภัย (Security Feature Bypass) 1 รายการ และช่องโหว่ปลอมแปลงตัวตน (Spoofing) อีก 1 รายการ

รายละเอียดจำนวนช่องโหว่แต่ละประเภทโดยประมาณ มีดังนี้

  • ช่องโหว่ยกระดับสิทธิ์ (Elevation of Privilege): 254 รายการ
  • ช่องโหว่หลบเลี่ยงระบบความปลอดภัย (Security Feature Bypass): 17 รายการ
  • ช่องโหว่รันโค้ดจากระยะไกล (Remote Code Execution): 145 รายการ
  • ช่องโหว่เปิดเผยข้อมูล (Information Disclosure): 102 รายการ
  • ช่องโหว่โจมตีให้ระบบล่ม (Denial of Service): 35 รายการ
  • ช่องโหว่ปลอมแปลงตัวตน (Spoofing): 16 รายการ

รายละเอียดของ Zero-Day ทั้ง 3 ตัว

CVE-2026-56155 (Active Directory Federation Services – AD FS) ความรุนแรง 7.8/10 คะแนน

เป็นช่องโหว่ยกระดับสิทธิ์ (Elevation of Privilege) ที่ถูกนำไปใช้โจมตีจริงแล้ว เกิดจากระบบควบคุมสิทธิ์ภายใน Active Directory Federation Services หรือ AD FS แบ่งระดับการเข้าถึงได้ไม่ละเอียดเพียงพอ ผู้โจมตีที่มีบัญชีและสิทธิ์เข้าถึงระบบอยู่ก่อน สามารถใช้ช่องโหว่นี้ยกระดับตัวเองขึ้นเป็นผู้ดูแลระบบได้

ช่องโหว่นี้ต้องเริ่มโจมตีจากภายในเครื่องหรือระบบที่เข้าถึงได้ก่อน ไม่สามารถเจาะจากระยะไกลโดยตรง ขณะนี้ Microsoft ยังไม่เปิดเผยรายละเอียดว่าถูกใช้โจมตีอย่างไร แต่ผู้ค้นพบมาจากทีม Microsoft Detection and Response Team หรือ DART ซึ่งเป็นทีมที่รับมือและตรวจสอบเหตุการณ์โจมตีทางไซเบอร์โดยตรง

CVE-2026-56164 (Microsoft SharePoint Server) ความรุนแรง 5.3/10 คะแนน

เป็นช่องโหว่ยกระดับสิทธิ์ที่ถูกนำไปใช้โจมตีจริงแล้ว เกิดจากฟังก์ชันสำคัญบางส่วนของ Microsoft SharePoint Server ไม่มีการตรวจสอบยืนยันตัวตนอย่างเหมาะสม ทำให้ผู้โจมตีที่ยังไม่ได้รับอนุญาตสามารถส่งคำขอผ่านเครือข่าย เพื่อเข้าถึงหรือแก้ไขข้อมูลในส่วนที่ไม่ควรเข้าถึงได้

ช่องโหว่นี้สามารถโจมตีจากระยะไกลได้โดยไม่ต้องมีบัญชีผู้ใช้และไม่ต้องให้เหยื่อกดเปิดไฟล์ แม้คะแนนความรุนแรงจะอยู่ที่ 5.3/10 แต่เนื่องจากถูกใช้โจมตีจริงแล้ว จึงควรติดตั้งแพตช์โดยเร็ว นอกจากนี้ Microsoft แนะนำให้เปิดใช้งาน Antimalware Scan Interface หรือ AMSI และตั้งค่า Request Body Scan เป็นโหมด Full เพื่อช่วยลดความเสี่ยงเพิ่มเติม

CVE-2026-50661 (Windows BitLocker) ความรุนแรง 6.1/10 คะแนน

เป็นช่องโหว่หลบเลี่ยงระบบความปลอดภัย (Security Feature Bypass) ใน Windows BitLocker ที่ถูกเปิดเผยรายละเอียดต่อสาธารณะแล้ว ผู้โจมตีที่สามารถเข้าถึงเครื่องเป้าหมายทางกายภาพ อาจใช้ช่องโหว่นี้เพื่อข้ามระบบเข้ารหัสของ BitLocker และเข้าถึงข้อมูลที่ถูกเข้ารหัสอยู่ในไดรฟ์ของเครื่องได้

ช่องโหว่นี้ไม่สามารถโจมตีจากระยะไกล และผู้โจมตีต้องเข้าถึงเครื่องจริง แต่ไม่จำเป็นต้องมีบัญชีผู้ใช้หรือสิทธิ์ภายในระบบก่อน ปัจจุบันยังไม่มีรายงานว่าถูกนำไปใช้โจมตีจริง อย่างไรก็ตาม ผู้ใช้โน้ตบุ๊กหรืออุปกรณ์ที่มีข้อมูลสำคัญและมีความเสี่ยงสูญหายหรือถูกขโมย ควรรีบติดตั้งอัปเดตเพื่อปิดช่องโหว่ดังกล่าว

ตัวเลข 570 รายการดังกล่าวนับเฉพาะช่องโหว่ที่ Microsoft แก้ไขในวัน Patch Tuesday เท่านั้น และยังไม่รวมช่องโหว่ของ Mariner, Azure OpenAI, Azure Synapse, Microsoft 365 Copilot, Microsoft Exchange Online, Microsoft Entra Provisioning Service และ Microsoft Edge บน Android ซึ่งได้รับการแก้ไขไปก่อนหน้านี้ในเดือนเดียวกัน

นอกจากนี้ ยังไม่รวมช่องโหว่ของ Microsoft Edge และโครงการ Chromium อีกประมาณ 468 รายการที่ Google แก้ไขไปก่อนหน้านี้ โดย Microsoft ระบุว่าจำนวนช่องโหว่ที่พบเพิ่มสูงขึ้น ส่วนหนึ่งมาจากการนำระบบ AI มาช่วยตรวจค้นช่องโหว่ในโค้ดของ Windows เพื่อค้นหาและแก้ไขปัญหาก่อนที่แฮกเกอร์จะนำไปใช้โจมตี

ขณะเดียวกัน ผู้ผลิตซอฟต์แวร์รายอื่นก็ออกอัปเดตความปลอดภัยในเดือนกรกฎาคมเช่นกัน เช่น Adobe, BeyondTrust, Cisco, Fortinet, Ivanti, NVIDIA, Progress Software, Ubiquiti, SAP, VMware และ Zimbra โดยบางรายการเป็นช่องโหว่ระดับร้ายแรง รวมถึงช่องโหว่ที่ถูกนำไปใช้โจมตีจริงแล้ว

แนะนำให้ผู้ใช้งานและผู้ดูแลระบบรีบติดตั้งอัปเดตความปลอดภัยโดยเร็ว โดยเฉพาะองค์กรที่ใช้งาน Active Directory Federation Services, Microsoft SharePoint Server, BitLocker และเซิร์ฟเวอร์ที่เปิดให้เข้าถึงผ่านเครือข่าย เนื่องจากช่องโหว่บางรายการถูกนำไปใช้โจมตีจริงแล้ว และอาจเปิดทางให้ผู้โจมตียกระดับสิทธิ์หรือเข้าถึงข้อมูลสำคัญภายในระบบได้

ที่มา : bleepingcomputer