+02 683-5100
สั่งซื้อโทรกลับ
  • หน้าหลัก
  • บล็อก
  • CISA เตือนด่วน! รีบแพตช์ช่องโหว่ SharePoint ก่อนตกเป็นเป้าแฮ็กเกอร์จีน

CISA เตือนด่วน! รีบแพตช์ช่องโหว่ SharePoint ก่อนตกเป็นเป้าแฮ็กเกอร์จีน

เมื่อวันที่ 22 กรกฎาคม 2025 สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้ออกคำสั่งด่วนให้หน่วยงานภาครัฐที่เกี่ยวข้องดำเนินการแพตช์ระบบ Microsoft SharePoint โดยเร็วที่สุด ภายในวันที่ 23 กรกฎาคม เพราะมีหลักฐานชัดเจนว่ากลุ่มแฮกเกอร์จากจีนกำลังใช้ช่องโหว่เหล่านี้ในการโจมตีจริงแล้ว

รายละเอียดช่องโหว่ที่ถูกใช้โจมตี

ช่องโหว่ที่ถูกเพิ่มเข้าไปในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) ของ CISA มีดังนี้:

  • CVE-2025-49704 – ช่องโหว่ Remote Code Execution บน SharePoint
  • CVE-2025-49706 – ช่องโหว่ Remote Code Execution หลังการยืนยันตัวตน

ทั้งสองช่องโหว่นี้สามารถนำมาใช้ร่วมกันในลักษณะ “spoofing + RCE chain” เพื่อให้ผู้โจมตีสามารถเข้าควบคุมระบบ SharePoint On-Premise ได้โดยไม่ได้รับอนุญาต โดย Microsoft ระบุว่าเริ่มตรวจพบการโจมตีจากกลุ่มแฮกเกอร์อย่าง Linen Typhoon และ Violet Typhoon ตั้งแต่ช่วงต้นเดือนกรกฎาคมที่ผ่านมา

ToolShell: ช่องโหว่ชุดใหม่ที่น่ากังวล

ช่องโหว่เหล่านี้เป็นส่วนหนึ่งของชุดช่องโหว่ที่เรียกว่า “ToolShell” ซึ่งมีทั้งหมด 4 รายการ ได้แก่:

  • CVE-2025-49704 – ช่องโหว่ Remote Code Execution บน SharePoint
  • CVE-2025-49706 – ช่องโหว่ Remote Code Execution หลังการยืนยันตัวตน
  • CVE-2025-53770 – ช่องโหว่ ToolShell สำหรับข้ามการยืนยันตัวตนและรันโค้ดระยะไกล
  • CVE-2025-53771 – ช่องโหว่ ToolShell แบบ Path Traversal

สิ่งที่น่ากังวลคือ CVE-2025-53770 เพียงช่องโหว่เดียวก็สามารถใช้เพื่อเจาะระบบได้ทันที โดยไม่ต้องพึ่งช่องโหว่อื่นเพิ่มเติม และยังสามารถ หลบเลี่ยงแพตช์เก่า ที่เคยออกมาก่อนหน้านี้ได้ด้วย

ทีมวิจัยจาก Akamai ระบุว่า การโจมตีสำเร็จเกิดจากการรวมกันของการข้ามการยืนยันตัวตน (CVE-2025-49706) และการ deserialization ที่ไม่ปลอดภัย (CVE-2025-49704) ซึ่งช่วยให้ผู้ไม่หวังดีสามารถรันโค้ดบนเซิร์ฟเวอร์จากระยะไกลได้

AMSI ไม่ใช่ทางรอดเสมอไป

Microsoft แนะนำให้เปิดใช้งาน AMSI (Antimalware Scan Interface) เพื่อช่วยตรวจจับภัยคุกคาม แต่บริษัทความปลอดภัย WatchTowr Labs ได้เผยว่าสามารถ พัฒนาเทคนิคที่เลี่ยง AMSI ได้สำเร็จ โดยอาศัยช่องโหว่ CVE-2025-53770

“AMSI ไม่เคยเป็นยาวิเศษ และองค์กรที่เลือก ‘เปิด AMSI’ แทนการแพตช์ ถือว่ากำลังเสี่ยงอย่างมาก” — Benjamin Harris, CEO, watchTowr Labs

เขายังเตือนว่า กลุ่มแฮ็กเกอร์ระดับรัฐย่อมสามารถหลบเลี่ยงระบบป้องกันพื้นฐานได้อย่างไม่ยาก และการพึ่งพา mitigation เพียงอย่างเดียวอาจทำให้องค์กรเข้าใจผิดว่าเซิร์ฟเวอร์ได้รับการป้องกันแล้ว ทั้งที่จริงแล้วยังเปิดช่องให้ถูกโจมตีอยู่

ข้อแนะนำสำหรับองค์กร

  1. เร่งตรวจสอบและติดตั้งแพตช์ล่าสุด ของ SharePoint โดยเฉพาะช่องโหว่ในชุด ToolShell ทั้งหมด
  2. อย่าใช้ AMSI แทนการแพตช์ — AMSI เป็นเพียงระบบตรวจจับ ไม่สามารถปิดช่องโหว่ได้
  3. ติดตาม KEV Catalog จาก CISA อย่างต่อเนื่อง เพื่อรับข้อมูลช่องโหว่ที่ถูกใช้โจมตีจริง
  4. ตรวจสอบระบบ SharePoint ที่ยังคงใช้งานแบบ On-Premise เพื่อหาการเข้าถึงที่ไม่ได้รับอนุญาต

    การโจมตีที่เกิดขึ้นจริงจากกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนโดยรัฐ ถือเป็นสัญญาณเตือนสำคัญว่าองค์กรใดก็ตามที่ใช้ Microsoft SharePoint ต้องไม่เพิกเฉยต่อการอัปเดตระบบอย่างสม่ำเสมอ เพื่อปกป้องระบบจากภัยคุกคามที่ซับซ้อนและเพิ่มขึ้นทุกวัน

    ที่มา: The Hacker News

    การใช้เว็บไซต์ของเราแสดงว่าคุณยินยอมให้เราใช้ คุกกี้ของไฟล์
    เห็นด้วย