หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้สั่งให้หน่วยงานรัฐบาลกลางรักษาความปลอดภัยระบบ Windows ของตนจากช่องโหว่ที่ถูกโจมตีแบบซีโรเดย์
ข้อบกพร่องด้านความปลอดภัยนี้ถูกติดตามในชื่อ CVE-2026-32202 โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ Akamai ซึ่งอธิบายว่าเป็นช่องโหว่การรั่วไหลของแฮช NTLM แบบคลิกเป็นศูนย์ที่ทิ้งไว้หลังจากที่ Microsoft แก้ไขข้อบกพร่องการเรียกใช้โค้ดจากระยะไกล (CVE-2026-21510) อย่างไม่สมบูรณ์ในเดือนกุมภาพันธ์
ตามที่ CERT-UA เปิดเผย กลุ่มจารกรรมทางไซเบอร์ APT28 ของรัสเซีย (หรือ UAC-0001 และ Fancy Bear) ใช้ประโยชน์จาก CVE-2026-21510 ในการโจมตีประเทศยูเครนและสหภาพยุโรปในเดือนธันวาคม 2025 โดยเป็นส่วนหนึ่งของห่วงโซ่การหาประโยชน์ที่กำหนดเป้าหมายข้อบกพร่องของไฟล์ LNK ด้วย (CVE-2026-21513)
Microsoft กล่าวว่าผู้โจมตีระยะไกลที่ประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่ CVE-2026-32202 ในการโจมตีที่มีความซับซ้อนต่ำโดยการส่ง "ไฟล์ที่เป็นอันตรายไปยังเหยื่อซึ่งเหยื่อจะต้องดำเนินการ" สามารถ "ดูข้อมูลที่ละเอียดอ่อนบางอย่าง" บนระบบที่ไม่ได้รับแพตช์ได้
Akamai อธิบายเพิ่มเติมในรายงานเมื่อวันพฤหัสบดีว่าข้อบกพร่องด้านความปลอดภัยนี้สามารถนำไปใช้ในการโจมตีแบบพาสเดอะแฮชเพื่อขโมยแฮช NTLM (รหัสผ่านแบบแฮช) ซึ่งจะใช้ในภายหลังในการตรวจสอบสิทธิ์ในฐานะผู้ใช้ที่ถูกบุกรุก ทำให้ผู้โจมตีสามารถแพร่กระจายในด้านข้างผ่านเครือข่ายหรือขโมยข้อมูลที่ละเอียดอ่อนได้
Microsoft ยังติดธงข้อบกพร่อง CVE-2026-3220 ว่าเป็นช่องโหว่ในการโจมตีเมื่อวันอาทิตย์ หลังจากที่ BleepingComputer ติดต่อเมื่อสัปดาห์ที่แล้วเพื่อถามว่าทำไมคำแนะนำที่เผยแพร่ระหว่างแพตช์วันอังคารเดือนเมษายน 2569 จึงมีการประเมินความสามารถในการใช้ประโยชน์จาก 'Exploitation Detected' ในขณะที่ช่องโหว่ถูกตั้งค่าสถานะว่าไม่ถูกแสวงหาผลประโยชน์
เมื่อถามข้อมูลเพิ่มเติมเกี่ยวกับการโจมตี CVE-2026-32202 (รวมถึงแฮกเกอร์ APT28 ใช้ประโยชน์จากช่องโหว่แบบคลิกเป็นศูนย์นี้ด้วยหรือไม่) Microsoft บอกกับ BleepingComputer ว่าพวกเขาไม่ได้ระบุหลักฐานที่เชื่อมโยงกิจกรรม CVE นี้กับ APT28 โดยอิงจากสิ่งที่พวกเขาสังเกตเห็นจนถึงปัจจุบัน
Feds ได้รับคำสั่งให้แก้ไขภายในวันที่ 12 พฤษภาคม
เมื่อวันอังคาร CISA ได้เพิ่ม CVE-2026-32202 ลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) โดยสั่งให้หน่วยงาน Federal Civilian Executive Branch (FCEB) แก้ไขจุดสิ้นสุดและเซิร์ฟเวอร์ Windows ภายในสองสัปดาห์ภายในวันที่ 12 พฤษภาคม ตามที่ได้รับคำสั่งจาก Binding Operational Directive (BOD) 22-01
“ช่องโหว่ประเภทนี้เป็นเวกเตอร์การโจมตีบ่อยครั้งสำหรับผู้กระทำความผิดทางไซเบอร์และก่อให้เกิดความเสี่ยงที่สำคัญต่อองค์กรของรัฐบาลกลาง” หน่วยงานความปลอดภัยทางไซเบอร์เตือน
"ใช้การบรรเทาตามคำแนะนำของผู้จำหน่าย ปฏิบัติตามคำแนะนำ BOD 22-01 ที่เกี่ยวข้องสำหรับบริการคลาวด์ หรือยุติการใช้งานผลิตภัณฑ์หากไม่มีการบรรเทาผลกระทบ"
แม้ว่า BOD 22-01 จะมีผลกับหน่วยงานรัฐบาลกลางของสหรัฐอเมริกาเท่านั้น CISA ได้กระตุ้นให้ทีมรักษาความปลอดภัยทั้งหมดจัดลำดับความสำคัญในการปรับใช้แพตช์สำหรับ CVE-2026-32202 และรักษาความปลอดภัยเครือข่ายขององค์กรโดยเร็วที่สุด
ผู้คุกคามยังใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยของ Windows สามช่องโหว่ที่เพิ่งเปิดเผยเมื่อเร็ว ๆ นี้ (เรียกว่า BlueHammer, RedSun และ UnDefend) ในการโจมตีที่มีเป้าหมายเพื่อให้ได้มาซึ่งระบบหรือสิทธิพิเศษของผู้ดูแลระบบระดับสูง โดยสองช่องโหว่หลังยังคงรอการแก้ไขอยู่
อัปเดต 30 เมษายน, 06:04 EDT:เพิ่มคำชี้แจงของ Microsoft
99% ของสิ่งที่ Mythos พบนั้นยังไม่มีการแก้ไข
AI เชื่อมโยงศูนย์วันสี่วันไว้ในช่องโหว่เดียวที่ข้ามทั้งตัวเรนเดอร์และแซนด์บ็อกซ์ระบบปฏิบัติการ คลื่นแห่งการหาประโยชน์ใหม่ๆ กำลังมา
ที่การประชุมสุดยอดการตรวจสอบความถูกต้องโดยอิสระ (12 และ 14 พฤษภาคม) มาดูกันว่าการตรวจสอบความถูกต้องแบบอัตโนมัติและเต็มไปด้วยบริบทค้นหาสิ่งที่สามารถหาประโยชน์ได้ พิสูจน์ว่าการควบคุมยังคงอยู่ และปิดวงจรการแก้ไขได้อย่างไร
อ้างสิทธิ์ตำแหน่งของคุณ
