ภัยเงียบในองค์กร เมื่อช่องโหว่ SharePoint กลายเป็นประตูที่แฮ็กเกอร์ใช้เจาะระบบจริง
ในยุคที่องค์กรพึ่งพาระบบดิจิทัลมากขึ้นเรื่อย ๆ การมีช่องโหว่เพียงจุดเดียวในระบบ ก็อาจกลายเป็นช่องทางให้ภัยทางไซเบอร์เข้าถึงข้อมูลสำคัญได้อย่างง่ายดาย ล่าสุด ไมโครซอฟท์ออกมาเตือนภัยครั้งสำคัญ เกี่ยวกับช่องโหว่ Remote Code Execution (RCE) บน Microsoft SharePoint Server ซึ่งกำลังถูกใช้โจมตีอยู่ในขณะนี้โดยกลุ่มผู้ไม่หวังดี ที่มุ่งเป้าไปยังองค์กรทุกขนาดทั่วโลก
รู้จักช่องโหว่ร้ายแรง CVE-2025-53770
ช่องโหว่นี้มีรหัส CVE-2025-53770 (คะแนนความรุนแรง CVSS: 9.😎 ซึ่งถือว่าอยู่ในระดับ Critical โดยเกิดจากกระบวนการ Deserialization ของข้อมูลที่ไม่น่าเชื่อถือใน SharePoint Server ที่ติดตั้งภายใน (On-premises) ส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่จำเป็นต้องมีสิทธิ์ผู้ดูแลระบบ
ช่องโหว่นี้ส่งผลกระทบต่อระบบ SharePoint Server หลายเวอร์ชันที่ยังคงใช้งานอยู่ ได้แก่
- Microsoft SharePoint Server 2019 (เวอร์ชัน 16.0.10417.20027)
- Microsoft SharePoint Enterprise Server 2016 (เวอร์ชัน 16.0.5508.1000)
- Microsoft SharePoint Server Subscription Edition
- Microsoft SharePoint Server 2019 Core
-Microsoft SharePoint Server 2016 (เวอร์ชันอัปเดตล่าสุด - TBD)
ทั้งนี้ ช่องโหว่ไม่ส่งผลกระทบต่อ SharePoint Online ที่อยู่ใน Microsoft 365 ซึ่งมีการจัดการโดย Microsoft Cloud โดยตรง ที่น่ากังวลยิ่งกว่านั้นคือ ช่องโหว่นี้ไม่ได้เกิดขึ้นเพียงลำพัง แต่มีความเชื่อมโยงกับช่องโหว่อื่น ๆ ที่ถูกค้นพบก่อนหน้านี้ ได้แก่ CVE-2025-49704 และ CVE-2025-49706 ซึ่งหากถูกนำมาใช้ร่วมกันในลักษณะของ Exploit Chain (ที่เรียกว่า ToolShell) จะสามารถทำให้แฮ็กเกอร์เจาะระบบได้อย่างมีประสิทธิภาพและยากต่อการตรวจจับ
แฮ็กเกอร์เริ่มโจมตีแล้ว รู้ทันก่อนสาย
กลุ่มนักวิจัยด้านความมั่นคงปลอดภัย รวมถึงบริษัท Eye Security และหน่วยงาน Unit 42 ของ Palo Alto Networks ได้เปิดเผยว่ามีองค์กรอย่างน้อย 54 แห่ง ที่ถูกเจาะระบบผ่านช่องโหว่นี้แล้ว ตั้งแต่หน่วยงานภาครัฐ มหาวิทยาลัย โรงพยาบาล ไปจนถึงธนาคาร ที่น่าตกใจคือ
การโจมตีเริ่มต้นขึ้นตั้งแต่ วันที่ 18 กรกฎาคม 2025 และกำลังขยายวงอย่างรวดเร็ว โดยแฮ็กเกอร์สามารถข้ามการยืนยันตัวตนด้วย MFA และ SSO เพื่อเข้าถึงสิทธิ์ระดับสูง จากนั้นจะดำเนินการขโมยข้อมูล ติดตั้ง Backdoor แบบถาวร และลอบขโมยกุญแจเข้ารหัส (Cryptographic Keys) ที่ใช้ในระบบขององค์กร
ความเข้าใจผิดที่อันตราย “แพตช์แล้ว…จบหรือยัง?”
แม้ว่าไมโครซอฟท์จะได้ปล่อยแพตช์เร่งด่วนเพื่ออุดช่องโหว่นี้แล้วใน SharePoint Server เวอร์ชันที่ได้รับการสนับสนุน แต่การ “ติดตั้งแพตช์” เพียงอย่างเดียว ยังไม่เพียงพอ ในกรณีนี้ผู้เชี่ยวชาญจาก Unit 42 ชี้ว่า หากองค์กรของคุณเปิด SharePoint Server On-Premise ให้เข้าถึงผ่านอินเทอร์เน็ตแล้วล่ะก็ ควรสันนิษฐานได้เลยว่าระบบของคุณอาจถูกบุกรุกไปแล้ว และการแก้ไขต้องทำมากกว่าแค่คลิก “อัปเดต”
แนวทางป้องกันและตอบสนอง
ไมโครซอฟท์และผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยแนะนำให้ดำเนินการทันที ดังนี้
- ติดตั้งแพตช์ล่าสุด สำหรับ SharePoint Server 2016, 2019 และ Subscription Edition
- เปิดใช้งาน AMSI (Antimalware Scan Interface) และโหมด Full Mode ร่วมกับ Defender Antivirus
- หมุนเวียน ASP.NET Machine Keys และ รีสตาร์ท IIS บนเซิร์ฟเวอร์ทุกเครื่อง
- ใช้ Microsoft Defender for Endpoint หรือโซลูชันเทียบเท่า เพื่อเสริมการตรวจจับและตอบสนอง
- ตัดการเชื่อมต่อ SharePoint จากอินเทอร์เน็ตชั่วคราว หากยังไม่สามารถติดตั้งแพตช์ได้ทันที
เมื่อระบบที่ “เชื่อมโยงทุกอย่าง” กลายเป็นจุดเสี่ยงที่สุด
Microsoft SharePoint ไม่ใช่แค่แพลตฟอร์มเอกสาร แต่เป็นศูนย์กลางที่เชื่อมต่อกับบริการหลักทั้งหมดในระบบของ Microsoft ไม่ว่าจะเป็น Teams, Outlook, OneDrive, Office 365 และอื่น ๆ ช่องโหว่ใน SharePoint จึงไม่ใช่แค่ “ปัญหาในจุดเดียว” แต่เป็น “จุดเริ่มต้นของหายนะทั้งองค์กร” หากไม่รับมืออย่างถูกต้อง
ช่องโหว่ SharePoint ครั้งนี้คือสัญญาณเตือนสำคัญ ที่องค์กรควรใช้เป็นจุดเริ่มต้นในการทบทวนระบบทั้งหมด ทั้งในมุมของการป้องกัน การตรวจจับ และการตอบสนอง
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity #SharePoint
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2025 Blockdit
