Microsoft ออกแพตช์ฉุกเฉินอุดช่องโหว่ Zero-Day ร้ายแรงบน SharePoint Server หลังพบการโจมตีจริงในหลายประเทศ

ไมโครซอฟท์ออกแพตช์ฉุกเฉินเพื่ออุดช่องโหว่ความรุนแรงสูงบน Microsoft SharePoint Server ซึ่งขณะนี้กำลังถูกใช้โจมตีจริง โดยแฮกเกอร์สามารถฝังโค้ดอันตรายและเข้าควบคุมระบบขององค์กรได้จากระยะไกล (Remote Code Execution)

ช่องโหว่ดังกล่าวมีรหัส CVE-2025-53770 ได้รับคะแนนความรุนแรง CVSS 9.8 เป็นบักประเภท deserialization ของข้อมูลที่ไม่ได้รับการตรวจสอบอย่างถูกต้อง ซึ่งเปิดช่องให้แฮกเกอร์สามารถสั่งรันโค้ดบนเซิร์ฟเวอร์ SharePoint ได้โดยไม่ต้องยืนยันตัวตน แถมยังสามารถขโมย Key ภายใน (เช่น ValidationKey และ DecryptionKey) เพื่อสร้าง payload ปลอมและย้อนกลับมาควบคุมระบบในอนาคต แม้จะมีการติดตั้งแพตช์ไปแล้วก็ตาม

อีกหนึ่งช่องโหว่ที่เกี่ยวข้องคือ CVE-2025-53771 ซึ่งเป็นช่องโหว่แบบ spoofing ที่อาศัยเทคนิค path traversal เพื่อช่วยให้การเจาะระบบสมบูรณ์ยิ่งขึ้น ทั้งสองช่องโหว่นี้ถูกใช้ร่วมกันใน exploit chain เพื่อฝัง Web Shell และควบคุมระบบในหลายองค์กรแล้วทั่วโลก

ขอบเขตการโจมตี

จากการตรวจสอบของนักวิจัยด้านความปลอดภัยพบว่า มีเซิร์ฟเวอร์ขององค์กรกว่า 85 แห่งในหลายประเทศที่ตกเป็นเหยื่อการโจมตี แฮกเกอร์สามารถขโมยไฟล์สำคัญจากเซิร์ฟเวอร์ เช่น ไฟล์ MachineKey ซึ่งมีข้อมูลกุญแจเข้ารหัส ValidationKey และ DecryptionKey ที่ใช้ภายใน SharePoint การขโมยกุญแจเหล่านี้ทำให้แฮกเกอร์สามารถสร้าง payload ปลอมที่เหมือนถูกเซ็นรับรองจากระบบเอง และใช้ในการควบคุมระบบซ้ำได้ แม้ในกรณีที่มีการติดตั้งแพตช์ไปแล้ว

ผลกระทบและการรับมือ

ไมโครซอฟท์ยืนยันว่า มีเพียงผู้ใช้งาน SharePoint Server แบบ on-premises เท่านั้นที่อยู่ในความเสี่ยง ส่วน SharePoint Online ที่เป็นส่วนหนึ่งของบริการ Microsoft 365 ไม่ได้รับผลกระทบจากช่องโหว่นี้แต่อย่างใด

ขณะเดียวกันหน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์ของสหรัฐฯ อย่าง CISA ได้ออกประกาศเตือนภัยเร่งด่วนไปยังหน่วยงานรัฐและภาคเอกชน พร้อมระบุว่าเหตุการณ์นี้ถือเป็นภัยคุกคามระดับชาติ ขณะที่ FBI กำลังประสานงานร่วมกับไมโครซอฟท์เพื่อแจ้งเตือนองค์กรต่าง ๆ ที่ตกเป็นเป้าหมาย และวิเคราะห์เส้นทางการโจมตีอย่างละเอียด

ไมโครซอฟท์แนะนำให้ผู้ดูแลระบบติดตั้งแพตช์ล่าสุดทันทีโดยเข้าไปดาวน์โหลดผ่านเว็บไซต์ Microsoft Security Response Center รวมถึงเปิดใช้งาน AMSI (Antimalware Scan Interface) และ Microsoft Defender for Endpoint เพื่อช่วยตรวจจับพฤติกรรมของ Web Shell หรือโค้ดที่ผิดปกติ

หากยังไม่สามารถติดตั้งแพตช์ได้ทันที ควรพิจารณาปิดการเชื่อมต่อ SharePoint Server จากภายนอกเพื่อป้องกันความเสี่ยงในระหว่างรออัปเดต นอกจากนี้ ผู้ดูแลระบบควรเปลี่ยนกุญแจเข้ารหัสภายในระบบ เช่น MachineKey, ValidationKey และ DecryptionKey โดยเร็วที่สุด เพื่อป้องกันไม่ให้แฮกเกอร์ใช้คีย์เดิมในการเข้าควบคุมระบบซ้ำ

ที่มา