Back to Blog

Patch Tuesday เมษายน 2569 เผยช่องโหว่ 164 รายการ พบ 2 Zero-Day และ 8 ช่องโหว่ร้ายแรง

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยเดือนเมษายน 2569 แก้ไขช่องโหว่ 164 รายการ รวมถึง 2 Zero-Day และ 8 ช่องโหว่ระดับวิกฤตใน Windows, Office และ Defender

Sales
1 min read
Patch Tuesday เมษายน 2569 เผยช่องโหว่ 164 รายการ พบ 2 Zero-Day และ 8 ช่องโหว่ร้ายแรง

ไมโครซอฟท์เผยแพร่แพตช์ความปลอดภัยประจำเดือนเมษายน 2569 โดยแก้ไขช่องโหว่ทั้งหมด 164 รายการ ซึ่งเพิ่มขึ้นเป็นสองเท่าจากเดือนก่อนหน้า ในจำนวนนี้มีช่องโหว่ระดับวิกฤต 8 รายการ และช่องโหว่ Zero-Day ที่ถูกโจมตีแล้ว 1 รายการ รวมถึงอีก 1 รายการที่ถูกเปิดเผยข้อมูลก่อนแพตช์จะออก

ช่องโหว่ส่วนใหญ่ 57 เปอร์เซ็นต์ เกี่ยวข้องกับการยกระดับสิทธิ์ รองลงมาคือการสั่งการรันโค้ดจากระยะไกลและการเปิดเผยข้อมูลอย่างละ 12 เปอร์เซ็นต์ ระบบปฏิบัติการวินโดวส์ได้รับแพตช์มากที่สุดถึง 131 รายการ


ช่องโหว่ Zero-Day ใน SharePoint และ Defender

ช่องโหว่ CVE-2026-32201 ใน Microsoft SharePoint Server ถูกจัดให้มีความรุนแรงระดับสำคัญ มีคะแนน CVSS 6.5 และถูกโจมตีในวงกว้างแล้วโดยไม่ต้องมีการยืนยันตัวตน ผู้โจมตีสามารถปลอมแปลงและเข้าถึงข้อมูลสำคัญได้

ส่วน CVE-2026-33825 ใน Microsoft Defender เป็นช่องโหว่ยกระดับสิทธิ์ระดับสำคัญ มีคะแนน CVSS 7.8 แม้จะยังไม่พบการโจมตี แต่มีโค้ดพิสูจน์แนวคิดถูกเปิดเผยแล้ว และไมโครซอฟท์ประเมินว่ามีแนวโน้มถูกโจมตีสูง


ช่องโหว่ร้ายแรงในระบบเครือข่าย Windows

CVE-2026-33827 ใน Windows TCP/IP เป็นช่องโหว่สั่งการรันโค้ดจากระยะไกระดับวิกฤต มีคะแนน CVSS 8.1 ผู้โจมตีสามารถส่งแพ็กเก็ต IPv6 ที่ออกแบบมาเป็นพิเศษเพื่อแทรกโค้ดได้

ช่องโหว่ CVE-2026-33824 ใน Windows Internet Key Exchange Service Extensions น่ากังวลยิ่งกว่า ด้วยคะแนน CVSS 9.8 ซึ่งเป็นระดับสูงสุด ผู้โจมตีจากระยะไกลสามารถแทรกโค้ดได้โดยส่งแพ็กเก็ตพิเศษไปยังพอร์ต UDP 500 หรือ 4500

Figure 1. Breakdown of April 2026 Patch Tuesday exploitation techniques

ช่องโหว่ร้ายแรงใน Office และ Remote Desktop

ช่องโหว่ CVE-2026-32157 ใน Remote Desktop Client มีคะแนน CVSS 8.8 โดยผู้โจมตีที่ควบคุมเซิร์ฟเวอร์ RDP ที่เป็นอันตรายสามารถล่อให้เหยื่อเชื่อมต่อและแทรกโค้ดได้

สำหรับ Microsoft Office และ Word พบช่องโหว่ระดับวิกฤต 3 รายการ ได้แก่ CVE-2026-32190 CVE-2026-33114 และ CVE-2026-33115 ซึ่งทั้งหมดมีคะแนน CVSS 8.4 การโจมตีสามารถเกิดขึ้นผ่านหน้าต่างแสดงตัวอย่างไฟล์ได้โดยไม่ต้องเปิดไฟล์

Figure 2. Breakdown of product families affected by April 2026 Patch Tuesday

ช่องโหว่ใน Active Directory และ .NET Framework

CVE-2026-33826 ใน Windows Active Directory เป็นช่องโหว่สั่งการรันโค้ดระดับวิกฤต มีคะแนน CVSS 8.0 ผู้โจมตีที่ยืนยันตัวตนแล้วภายในโดเมนเดียวกันสามารถส่งคำขอ RPC พิเศษเพื่อแทรกโค้ดบนเซิร์ฟเวอร์ได้

ส่วน CVE-2026-23666 ใน .NET Framework เป็นช่องโหว่ทำให้บริการล่มระดับวิกฤต มีคะแนน CVSS 7.5 ซึ่งอาจส่งผลกระทบต่อความพร้อมให้บริการของระบบ


Reference

CrowdStrike

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด