Microsoft ได้ออกแพตช์สำหรับช่องโหว่ Zero-Day CVE-2026-21533 ใน Windows Remote Desktop Services (RDS) ที่ถูกผู้โจมตีนำไปใช้จริงเพื่อยกระดับสิทธิ์เข้าถึงระดับ SYSTEM ช่องโหว่นี้เกิดจากการจัดการสิทธิ์ที่ไม่เหมาะสมและได้รับการแก้ไขในการอัปเดต Patch Tuesday เดือนกุมภาพันธ์ 2026 ที่เผยแพร่เมื่อวันที่ 10 กุมภาพันธ์ ผู้โจมตีจำเป็นต้องมีการเข้าถึงในระดับต่ำในเครื่องเป้าหมายก่อนที่จะใช้ช่องโหว่นี้ได้.
Severity: สูง
System Impact:
- Windows Server 2025
- Windows 11 24H2 (x64/ARM64)
- Windows Server 2022
- Windows 11 23H2 (x64/ARM64)
- Windows Server 2019
- Windows 10 22H2 (เวอร์ชันต่างๆ)
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
- Windows 10 21H2/1607/1809
- Windows 11 25H2/26H1
Technical Attack Steps:
- ผู้โจมตีได้รับสิทธิ์การเข้าถึงเครื่องในระดับต่ำในระบบ Windows ที่มีบริการ RDS ทำงานอยู่
- ผู้โจมตีใช้ exploit binary เพื่อแก้ไข Registry Key การตั้งค่าบริการ RDS
- Registry Key ที่ถูกแก้ไขจะถูกแทนที่ด้วย Key ที่ผู้โจมตีควบคุม
- การเปลี่ยนแปลงนี้ทำให้สามารถยกระดับสิทธิ์ได้ เช่น การเพิ่มผู้ใช้ใหม่เข้าสู่กลุ่ม Administrators
- ส่งผลให้ผู้โจมตีได้รับสิทธิ์ระดับ SYSTEM ซึ่งเป็นการเข้าถึงสูงสุด
Recommendations:
Short Term:
- ติดตั้ง Monthly Rollup หรือ Security Updates โดยทันทีผ่าน Windows Update หรือ Microsoft Update Catalog
- หากไม่ได้ใช้งาน RDS ควรปิดการใช้งาน และจำกัดการเข้าถึงให้อยู่ในเครือข่ายที่เชื่อถือได้เท่านั้น
Long Term:
- บังคับใช้หลักการให้สิทธิ์การเข้าถึงน้อยที่สุด (Least Privilege)
- เฝ้าระวังการเปลี่ยนแปลง Registry ในบริการ RDS ที่ผิดปกติ
- ติดตั้งและใช้งาน EDR (Endpoint Detection and Response) เพื่อตรวจจับการยกระดับสิทธิ์ที่ผิดปกติ
- ทดสอบแพตช์ในสภาพแวดล้อมจำลอง (Staging Environment) ก่อนนำไปใช้จริง เนื่องจาก RDS มีความละเอียดอ่อน
Source: https://cybersecuritynews.com/windows-remote-desktop-services-0-day-vulnerability/
Share this content: