หายนะซ่อนอยู่ในคลาวด์: ช่องโหว่ใหม่ใน Windows Cloud Files Mini Filter Driver
วันนี้มีข่าวใหญ่ในวงการความปลอดภัยไซเบอร์ที่ไม่ควรมองข้าม! นักวิจัยจาก TyphoonPWN และทีม Windows PE Winner ร่วมกับ SSD Secure Disclosure ได้เปิดเผยช่องโหว่ใหม่ใน Windows Cloud Files Mini Filter Driver ซึ่งเป็นส่วนหนึ่งของระบบที่ช่วยจัดการไฟล์ในบริการคลาวด์อย่าง OneDrive
ช่องโหว่นี้มีชื่อว่า CVE-2025-55680 และมีคะแนนความรุนแรง CVSS สูงถึง 7.8 ซึ่งถือว่า "ร้ายแรง" เพราะสามารถให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ใช้ทั่วไป (domain user) ยกระดับสิทธิ์ขึ้นไปถึงระดับ SYSTEM ได้เลย!
เรื่องนี้น่าสนใจตรงที่มันเป็นการ "ย้อนกลับ" หรือ Patch Bypass ของช่องโหว่เก่าในปี 2020 (CVE-2020-17136) ที่เคยถูก Google Project Zero รายงานไว้ Microsoft เคยพยายามแก้ไขด้วยการป้องกันการโจมตีแบบ symbolic link โดยห้ามใช้ backslash (\\) หรือ colon (:) ใน path แต่ปรากฏว่าการตรวจสอบ path นั้นยังอิงจากหน่วยความจำที่ผู้ใช้ควบคุมได้ ทำให้เกิดการโจมตีแบบ TOCTOU (Time-of-Check to Time-of-Use) ได้อีกครั้ง
นักวิจัยสามารถใช้เทคนิคนี้เพื่อเขียนไฟล์ใดก็ได้ในระบบ ซึ่งนำไปสู่การควบคุมเครื่องแบบเต็มรูปแบบ!
TOCTOU (Time-of-Check to Time-of-Use) คือการโจมตีที่เกิดจากช่องว่างระหว่างเวลาที่ระบบตรวจสอบเงื่อนไขบางอย่าง (เช่น ตรวจสอบว่าไฟล์ปลอดภัย) กับเวลาที่ระบบใช้งานข้อมูลนั้นจริงๆ หากผู้โจมตีสามารถเปลี่ยนแปลงข้อมูลในช่วงเวลานั้นได้ ก็สามารถหลอกระบบให้ทำงานผิดพลาดได้
ช่องโหว่ใหม่ CVE-2025-55680
เป็นช่องโหว่ใน Windows Cloud Files Mini Filter Driver
มีคะแนน CVSS 7.8 ถือว่าร้ายแรง
เปิดช่องให้ผู้ใช้ทั่วไปยกระดับสิทธิ์เป็น SYSTEM
เทคนิคการโจมตี
ใช้ TOCTOU (Time-of-Check to Time-of-Use) เพื่อหลอกระบบ
อาศัยการควบคุมหน่วยความจำที่ใช้ตรวจสอบ path
ความเกี่ยวข้องกับช่องโหว่เก่า
เป็นการ bypass การแก้ไขของ CVE-2020-17136
Microsoft เคยป้องกันด้วยการห้ามใช้ \\ และ : ใน path
การแก้ไข
Microsoft ออกแพตช์ในเดือนตุลาคม 2025
แนะนำให้ผู้ดูแลระบบอัปเดตทันที
ความเสี่ยงต่อระบบ
ผู้โจมตีสามารถเขียนไฟล์ใดก็ได้ในระบบ
อาจนำไปสู่การควบคุมเครื่องแบบเต็มรูปแบบ
การละเลยแพตช์
หากไม่อัปเดต อาจถูกโจมตีจากผู้ใช้ภายในองค์กร
ช่องโหว่นี้สามารถใช้ร่วมกับช่องโหว่อื่นเพื่อโจมตีขั้นสูง
https://securityonline.info/poc-exploit-released-for-cve-2025-55680-windows-cloud-files-mini-filter-driver-elevation-of-privilege-flaw/
วันนี้มีข่าวใหญ่ในวงการความปลอดภัยไซเบอร์ที่ไม่ควรมองข้าม! นักวิจัยจาก TyphoonPWN และทีม Windows PE Winner ร่วมกับ SSD Secure Disclosure ได้เปิดเผยช่องโหว่ใหม่ใน Windows Cloud Files Mini Filter Driver ซึ่งเป็นส่วนหนึ่งของระบบที่ช่วยจัดการไฟล์ในบริการคลาวด์อย่าง OneDrive
ช่องโหว่นี้มีชื่อว่า CVE-2025-55680 และมีคะแนนความรุนแรง CVSS สูงถึง 7.8 ซึ่งถือว่า "ร้ายแรง" เพราะสามารถให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ใช้ทั่วไป (domain user) ยกระดับสิทธิ์ขึ้นไปถึงระดับ SYSTEM ได้เลย!
เรื่องนี้น่าสนใจตรงที่มันเป็นการ "ย้อนกลับ" หรือ Patch Bypass ของช่องโหว่เก่าในปี 2020 (CVE-2020-17136) ที่เคยถูก Google Project Zero รายงานไว้ Microsoft เคยพยายามแก้ไขด้วยการป้องกันการโจมตีแบบ symbolic link โดยห้ามใช้ backslash (\\) หรือ colon (:) ใน path แต่ปรากฏว่าการตรวจสอบ path นั้นยังอิงจากหน่วยความจำที่ผู้ใช้ควบคุมได้ ทำให้เกิดการโจมตีแบบ TOCTOU (Time-of-Check to Time-of-Use) ได้อีกครั้ง
นักวิจัยสามารถใช้เทคนิคนี้เพื่อเขียนไฟล์ใดก็ได้ในระบบ ซึ่งนำไปสู่การควบคุมเครื่องแบบเต็มรูปแบบ!
TOCTOU (Time-of-Check to Time-of-Use) คือการโจมตีที่เกิดจากช่องว่างระหว่างเวลาที่ระบบตรวจสอบเงื่อนไขบางอย่าง (เช่น ตรวจสอบว่าไฟล์ปลอดภัย) กับเวลาที่ระบบใช้งานข้อมูลนั้นจริงๆ หากผู้โจมตีสามารถเปลี่ยนแปลงข้อมูลในช่วงเวลานั้นได้ ก็สามารถหลอกระบบให้ทำงานผิดพลาดได้
ช่องโหว่ใหม่ CVE-2025-55680
เป็นช่องโหว่ใน Windows Cloud Files Mini Filter Driver
มีคะแนน CVSS 7.8 ถือว่าร้ายแรง
เปิดช่องให้ผู้ใช้ทั่วไปยกระดับสิทธิ์เป็น SYSTEM
เทคนิคการโจมตี
ใช้ TOCTOU (Time-of-Check to Time-of-Use) เพื่อหลอกระบบ
อาศัยการควบคุมหน่วยความจำที่ใช้ตรวจสอบ path
ความเกี่ยวข้องกับช่องโหว่เก่า
เป็นการ bypass การแก้ไขของ CVE-2020-17136
Microsoft เคยป้องกันด้วยการห้ามใช้ \\ และ : ใน path
การแก้ไข
Microsoft ออกแพตช์ในเดือนตุลาคม 2025
แนะนำให้ผู้ดูแลระบบอัปเดตทันที
ความเสี่ยงต่อระบบ
ผู้โจมตีสามารถเขียนไฟล์ใดก็ได้ในระบบ
อาจนำไปสู่การควบคุมเครื่องแบบเต็มรูปแบบ
การละเลยแพตช์
หากไม่อัปเดต อาจถูกโจมตีจากผู้ใช้ภายในองค์กร
ช่องโหว่นี้สามารถใช้ร่วมกับช่องโหว่อื่นเพื่อโจมตีขั้นสูง
https://securityonline.info/poc-exploit-released-for-cve-2025-55680-windows-cloud-files-mini-filter-driver-elevation-of-privilege-flaw/
🛡️ หายนะซ่อนอยู่ในคลาวด์: ช่องโหว่ใหม่ใน Windows Cloud Files Mini Filter Driver
วันนี้มีข่าวใหญ่ในวงการความปลอดภัยไซเบอร์ที่ไม่ควรมองข้าม! นักวิจัยจาก TyphoonPWN และทีม Windows PE Winner ร่วมกับ SSD Secure Disclosure ได้เปิดเผยช่องโหว่ใหม่ใน Windows Cloud Files Mini Filter Driver ซึ่งเป็นส่วนหนึ่งของระบบที่ช่วยจัดการไฟล์ในบริการคลาวด์อย่าง OneDrive
ช่องโหว่นี้มีชื่อว่า CVE-2025-55680 และมีคะแนนความรุนแรง CVSS สูงถึง 7.8 ซึ่งถือว่า "ร้ายแรง" เพราะสามารถให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ใช้ทั่วไป (domain user) ยกระดับสิทธิ์ขึ้นไปถึงระดับ SYSTEM ได้เลย!
เรื่องนี้น่าสนใจตรงที่มันเป็นการ "ย้อนกลับ" หรือ Patch Bypass ของช่องโหว่เก่าในปี 2020 (CVE-2020-17136) ที่เคยถูก Google Project Zero รายงานไว้ Microsoft เคยพยายามแก้ไขด้วยการป้องกันการโจมตีแบบ symbolic link โดยห้ามใช้ backslash (\\) หรือ colon (:) ใน path แต่ปรากฏว่าการตรวจสอบ path นั้นยังอิงจากหน่วยความจำที่ผู้ใช้ควบคุมได้ ทำให้เกิดการโจมตีแบบ TOCTOU (Time-of-Check to Time-of-Use) ได้อีกครั้ง
นักวิจัยสามารถใช้เทคนิคนี้เพื่อเขียนไฟล์ใดก็ได้ในระบบ ซึ่งนำไปสู่การควบคุมเครื่องแบบเต็มรูปแบบ!
TOCTOU (Time-of-Check to Time-of-Use) คือการโจมตีที่เกิดจากช่องว่างระหว่างเวลาที่ระบบตรวจสอบเงื่อนไขบางอย่าง (เช่น ตรวจสอบว่าไฟล์ปลอดภัย) กับเวลาที่ระบบใช้งานข้อมูลนั้นจริงๆ หากผู้โจมตีสามารถเปลี่ยนแปลงข้อมูลในช่วงเวลานั้นได้ ก็สามารถหลอกระบบให้ทำงานผิดพลาดได้
✅ ช่องโหว่ใหม่ CVE-2025-55680
➡️ เป็นช่องโหว่ใน Windows Cloud Files Mini Filter Driver
➡️ มีคะแนน CVSS 7.8 ถือว่าร้ายแรง
➡️ เปิดช่องให้ผู้ใช้ทั่วไปยกระดับสิทธิ์เป็น SYSTEM
✅ เทคนิคการโจมตี
➡️ ใช้ TOCTOU (Time-of-Check to Time-of-Use) เพื่อหลอกระบบ
➡️ อาศัยการควบคุมหน่วยความจำที่ใช้ตรวจสอบ path
✅ ความเกี่ยวข้องกับช่องโหว่เก่า
➡️ เป็นการ bypass การแก้ไขของ CVE-2020-17136
➡️ Microsoft เคยป้องกันด้วยการห้ามใช้ \\ และ : ใน path
✅ การแก้ไข
➡️ Microsoft ออกแพตช์ในเดือนตุลาคม 2025
➡️ แนะนำให้ผู้ดูแลระบบอัปเดตทันที
‼️ ความเสี่ยงต่อระบบ
⛔ ผู้โจมตีสามารถเขียนไฟล์ใดก็ได้ในระบบ
⛔ อาจนำไปสู่การควบคุมเครื่องแบบเต็มรูปแบบ
‼️ การละเลยแพตช์
⛔ หากไม่อัปเดต อาจถูกโจมตีจากผู้ใช้ภายในองค์กร
⛔ ช่องโหว่นี้สามารถใช้ร่วมกับช่องโหว่อื่นเพื่อโจมตีขั้นสูง
https://securityonline.info/poc-exploit-released-for-cve-2025-55680-windows-cloud-files-mini-filter-driver-elevation-of-privilege-flaw/
0 Comments
0 Shares
21 Views
0 Reviews
Thai