Microsoft ได้ออกแพตช์สำหรับช่องโหว่ Zero-Day ในบริการ Windows Remote Access Connection Manager (RasMan) ที่มีรหัส CVE-2026-21525 ซึ่งอนุญาตให้ผู้โจมตีสามารถทำให้เกิดสภาวะ Denial-of-Service (DoS) บนระบบที่ยังไม่ได้รับการแพตช์ ช่องโหว่นี้เกิดจาก NULL pointer dereference (CWE-476) และถูกใช้ประโยชน์ในการโจมตีจริงก่อนที่จะมีการเปิดเผยข้อมูล โดย Microsoft ได้ให้คะแนน ‘Exploitation Detected’ จาก MSRC exploitability index
Severity: วิกฤต
System Impact:
- บริการ Windows Remote Access Connection Manager (RasMan)
- Windows 11 26H1 (x64/ARM64)
- Windows Server 2012 R2 (Core/Full)
- Windows Server 2012 (Core)
Technical Attack Steps:
- ผู้โจมตีได้รับสิทธิ์เข้าถึงเครื่องในระดับ Local (Local Access) โดยไม่จำเป็นต้องมีสิทธิ์พิเศษ หรือการโต้ตอบจากผู้ใช้
- ผู้โจมตีส่งข้อมูลที่ถูกสร้างขึ้นเป็นพิเศษ (crafted input) ไปยังบริการ RasMan
- ข้อมูลที่สร้างขึ้นนี้จะกระตุ้นเส้นทางโค้ดที่มีช่องโหว่ (NULL pointer dereference) ในไฟล์ `rascustom.dll` หรือโมดูลที่เกี่ยวข้องระหว่างการเจรจาการเชื่อมต่อ
- บริการ RasMan จะหยุดทำงาน ทำให้เกิดสภาวะ Denial-of-Service (DoS)
- ในบางกรณี บริการอาจไม่สามารถรีสตาร์ทได้เองโดยอัตโนมัติ ส่งผลกระทบต่อการเชื่อมต่อระยะไกลสำหรับผู้ใช้และเซิร์ฟเวอร์
Recommendations:
Short Term:
- ติดตั้งอัปเดต Patch Tuesday เดือนกุมภาพันธ์ 2026 ทันทีผ่าน Windows Update หรือ Microsoft Update Catalog (KB5077179 สำหรับ Windows 11 26H1, KB5075970 สำหรับ Windows Server 2012 R2, KB5075971 สำหรับ Windows Server 2012)
- เปิดใช้งานการอัปเดตอัตโนมัติเพื่อป้องกันช่องโหว่ใหม่ๆ
Long Term:
- เฝ้าระวังการทำงานของบริการ RasMan บน Endpoint ที่อาจได้รับผลกระทบ เพื่อตรวจจับความผิดปกติหรือการหยุดทำงานที่ไม่คาดคิด
- ตรวจสอบวงจรการสนับสนุนของระบบปฏิบัติการที่ใช้อยู่ โดยเฉพาะอย่างยิ่งสำหรับระบบปฏิบัติการรุ่นเก่า
- เสริมสร้างมาตรการรักษาความปลอดภัยโดยรวม เพื่อป้องกันการเข้าถึงเครื่องเบื้องต้น (initial foothold) ซึ่งอาจนำไปสู่การโจมตีในลักษณะนี้ได้ (เช่น การโจมตีแบบฟิชชิ่ง)
Source: https://cybersecuritynews.com/windows-rrasman-0-day-vulnerability/
Share this content: