การอัปเดตความปลอดภัยที่สำคัญของมิถุนายน 2025 ของ Microsoft กำลังบังคับให้ผู้ดูแลระบบเข้าสู่การแลกเปลี่ยนที่เป็นอันตรายระหว่างความมั่นคงของเครือข่ายและการจัดการช่องโหว่ บริษัท ได้ยืนยันว่าหนึ่งแพตช์ที่เปิดตัวเมื่อวันที่ 10 มิถุนายนกำลังทำลายบริการการกำหนดค่าโฮสต์แบบไดนามิก (DHCP) ในหลายเวอร์ชันของ Windows Server ซึ่งเป็นฟังก์ชั่นหลักที่กำหนดที่อยู่ IP ให้กับอุปกรณ์เครือข่ายโดยอัตโนมัติ
ความล้มเหลว ใน การร้องเรียนเกี่ยวกับโซเชียลมีเดีย .
บริการ DHCP เป็นองค์ประกอบพื้นฐานของเครือข่ายที่ทันสมัยและความล้มเหลวของมันอาจมีผลกระทบแบบเรียงซ้อน ในขณะที่ Microsoft ไม่ได้ให้รายละเอียดสาเหตุของรากการวิเคราะห์ที่เกิดขึ้นใหม่แสดงให้เห็นว่าทริกเกอร์เฉพาะ ข้อผิดพลาดดูเหมือนจะเข้มข้นในเซิร์ฟเวอร์ที่ใช้การกำหนดค่าการล้มเหลวของ DHCP ซึ่งเป็นการตั้งค่าทั่วไปที่ออกแบบมาเพื่อให้ความพร้อมใช้งานสูงและซ้ำซ้อน
แดกดันการอัปเดตเดือนมิถุนายนมีวัตถุประสงค์เพื่อให้บริการแข็งตัวมาก Microsoft ตั้งข้อสังเกตในการเปิดตัวแพตช์ว่ามันรวมการแก้ไขสำหรับช่องโหว่การปฏิเสธสองประการในเซิร์ฟเวอร์ DHCP ซึ่งระบุว่า cve-2025-32725 ในขณะที่ บริษัท ได้ชี้แจงว่ามีเพียงชุดย่อยของผู้ใช้เท่านั้นที่ได้รับผลกระทบผลกระทบที่อาจเกิดขึ้นสำหรับผู้ที่มีการกำหนดค่าที่มีช่องโหว่นั้นรุนแรง
ทางเลือกที่มีสัดส่วนสูงสำหรับผู้ดูแลระบบ
การตัดสินใจย้อนกลับการอัปเดตเดือนมิถุนายนนั้นเต็มไปด้วยความเสี่ยง แพตช์ที่อยู่ 66 ช่องโหว่ซึ่งสิบรายการได้รับการจัดอันดับ’วิกฤต’และ 25 ซึ่งอนุญาตให้ดำเนินการรหัสระยะไกล การกดมากที่สุดของสิ่งเหล่านี้คือข้อบกพร่องที่เป็นศูนย์ในโปรโตคอล WebDav ที่ถูกติดตามเป็น รายงานรายละเอียดโดยการวิจัยจุดตรวจสอบ เปิดเผยว่ากลุ่มกำลังใช้ข้อบกพร่องในการโจมตีเป้าหมายของรัฐบาลและการป้องกัน Chris Goettl รองประธานของ Ivanti แย้งว่าวิธีการตามความเสี่ยงหมายถึงข้อบกพร่องควรได้รับการปฏิบัติว่า“ สำคัญเพราะมันถูกเอาเปรียบอย่างแข็งขัน” การอัพเดทยังกล่าวถึงศูนย์ที่สองที่เปิดเผยความสูงของการเพิ่มความอ่อนแอของสิทธิพิเศษใน Windows SMB (
สิ่งนี้แสดงให้เห็นว่าตำแหน่งที่เป็นไปไม่ได้หลายคนพบว่าตัวเองอยู่ในแม้ว่าผู้ดูแลระบบที่มีประสบการณ์ส่วนใหญ่จะทดสอบการอัปเดตดังกล่าวก่อนการเปิดตัวการผลิตเต็มรูปแบบ Microsoft การอัปเดตเดือนมิถุนายนเดียวกันได้จัดการกับ อิฐจำนวนมาก เมื่อรวมปัญหาการอัปเดตกำลังถูกรายงานเพื่อทำลายการเชื่อมต่อ L2TP VPN ซึ่งเพิ่มขอบเขตของผลกระทบเชิงลบของการอัปเดตเพิ่มเติม
ชุดของความผิดพลาดชุดนี้มาถึงในช่วงระยะเวลาที่ต้องการแล้วสำหรับทีมรักษาความปลอดภัยไอที สำหรับ Microsoft ความล้มเหลวในการควบคุมคุณภาพความเสี่ยงที่ลดความเสี่ยงในกระบวนการที่ออกแบบมาเพื่อให้ลูกค้าปลอดภัย ในส่วนของมันเรดมอนด์ได้สัญญาว่าจะมีการลงมติ“ ในอีกไม่กี่วันข้างหน้า” แต่ยังไม่ได้ให้ระยะเวลาที่เฉพาะเจาะจงมากขึ้นสำหรับการแก้ไข
ชุดรูปแบบที่เกิดขึ้นซ้ำ ๆ ของแพตช์วิกฤตที่แนะนำข้อบกพร่องที่สำคัญแสดงให้เห็นถึงความท้าทายที่เป็นระบบในการปรับสมดุลการพัฒนาความปลอดภัยอย่างรวดเร็ว สำหรับผู้ดูแลระบบหลายพันคนที่จัดการสภาพแวดล้อมขององค์กรที่ซับซ้อน“ ลอตเตอรีวันอังคาร” นี้แสดงถึงรูปแบบที่ไม่ยั่งยืนบังคับให้พวกเขาทำหน้าที่เป็นสายสุดท้ายของการประกันคุณภาพที่ไม่ได้ชำระ