EncryptHub โจมตี Windows ด้วยช่องโหว่ Zero-Day บน MMC

1. แฮกเกอร์ใช้ Email Phishing หรือ Compromise Website เพื่อเป็นช่องทางส่งไฟล์ที่ฝังโค้ดอันตรายไปยังเหยื่อ
2. หลังจากนั้นจะหลอกให้เหยื่อเปิดไฟล์ .msc ซึ่งเป็นไฟล์อันตรายที่ถูกออกแบบมาให้ใช้ประโยชน์จากช่องโหว่ CVE-2025-26633
3. เมื่อเหยื่อดำเนินการเปิดไฟล์ .msc บนระบบ ไฟล์จะโหลดโค้ดจากภายนอกผ่านการเปลี่ยนค่าพาธ MUIPath
4. Payload ที่ถูกโหลดเข้ามาจะเป็นมัลแวร์ที่ฝังตัวและรันโค้ดอันตรายเพื่อขโมยข้อมูลของเหยื่อ
5. หลังจากติดตั้งมัลแวร์สำเร็จ มัลแวร์จะดำเนินการเก็บข้อมูลที่ถูกขโมยจะถูกส่งกลับไปยัง C2 Server ของแฮกเกอร์

ในบางกรณีจะมีการติดตั้งแรนซัมแวร์เพื่อเข้ารหัสไฟล์ของเหยื่อหลังจากขโมยข้อมูลสำเร็จ

เวอร์ชันที่ได้รับผลกระทบ และ เวอร์ชันที่ได้รับการแก้ไขสามารถตรวจสอบเพิ่มเติมตามที่ทาง Microsoft ประกาศ

ผลกระทบจากช่องโหว่

เหตุการณ์การโจมตีโดยกลุ่ม EncryptHub ส่งผลกระทบต่อความมั่นคงปลอดภัยขององค์กร โดยทำให้ระบบสามารถถูกเจาะผ่านไฟล์ .msc ที่ใช้ช่องโหว่ CVE-2025-26633 เพื่อรันโค้ดอันตรายโดยไม่ต้องมีการยืนยันจากผู้ใช้ นำไปสู่การขโมยข้อมูลสำคัญ การติดตั้ง backdoor และการรันแรนซัมแวร์เพื่อเรียกค่าไถ่

คำแนะนำ

• อัปเดต Microsoft Management Console ให้เป็นเวอร์ชันที่ทาง Microsoft ประกาศการแก้ไขช่องโหว่
• ตรวจสอบการทำงานและไฟล์เพื่อตรวจจับกิจกรรมที่ผิดปกติ
• พิจารณาการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
• จำกัดสิทธิ์การรันไฟล์ .msc โดยเฉพาะจากอีเมลหรือแหล่งออนไลน์ที่ไม่เชื่อถือ
• เพิ่มแผนการ Backup ในการลดผลกระทบและความเสียหายหลังถูกโจมตี

แหล่งอ้างอิง

https://www.bleepingcomputer.com/news/security/encrypthub-linked-to-zero-day-attacks-targeting-windows-systems/

https://msrc.Microsoft.com/update-guide/vulnerability/CVE-2025-26633