Microsoft SharePoint Server กำลังตกเป็นเป้าหมายของการโจมตีทางไซเบอร์อย่างกว้างขวาง หลังพบช่องโหว่ Zero-Day ร้ายแรงที่เปิดโอกาสให้แฮกเกอร์สามารถเจาะระบบได้โดยไม่ต้องยืนยันตัวตน ล่าสุดมีรายงานว่าเซิร์ฟเวอร์ขององค์กรทั่วโลกถูกฝังโค้ดอันตรายไปแล้วกว่า 85 เครื่อง ใน 29 องค์กร ซึ่งรวมถึงทั้งบริษัทข้ามชาติและหน่วยงานภาครัฐ
รู้จักช่องโหว่ CVE-2025-53770
ช่องโหว่นี้ถูกระบุด้วยรหัส CVE-2025-53770 ได้รับคะแนนความรุนแรง CVSS 9.8 ซึ่งจัดอยู่ในระดับ Critical (วิกฤต) โดยเป็นช่องโหว่ประเภท Remote Code Execution (RCE) ที่เปิดให้แฮกเกอร์สามารถส่งคำสั่งเข้าระบบ SharePoint ผ่านเครือข่ายได้ โดยไม่ต้องผ่านกระบวนการยืนยันตัวตนแม้แต่น้อย
Microsoft อธิบายว่าช่องโหว่นี้เป็น “สายพันธุ์” ของช่องโหว่ CVE-2025-49706 ซึ่งเคยได้รับการแก้ไขไปแล้วก่อนหน้านี้ แต่ CVE-2025-53770 ถูกค้นพบเพิ่มเติมว่ามีวิธีการโจมตีที่ซับซ้อนและอันตรายยิ่งกว่า
เทคนิคการโจมตีที่ยากต่อการตรวจจับ
สิ่งที่ทำให้ช่องโหว่นี้น่ากังวลเป็นพิเศษ คือการที่แฮกเกอร์ใช้กลไก __VIEWSTATE ของ ASP.NET ซึ่งปกติใช้ในการเก็บสถานะของหน้าเว็บระหว่างคำขอ (request) มาเป็นเครื่องมือฝังคำสั่งอันตราย
เมื่อแฮกเกอร์สามารถเข้าถึงระบบได้แล้ว พวกเขาจะขโมยค่า MachineKey ซึ่งเป็นกุญแจเข้ารหัสภายในเซิร์ฟเวอร์ (ประกอบด้วย ValidationKey และ DecryptionKey) จากนั้นนำไปใช้สร้าง __VIEWSTATE ปลอมที่ระบบ SharePoint มองว่าเป็นของจริง ทำให้สามารถรันคำสั่งต่อเนื่องได้แม้จะไม่มีสิทธิ์
Benjamin Harris CEO ของบริษัท watchTowr กล่าวว่า:
“เมื่อแฮกเกอร์ได้คีย์เหล่านี้ พวกเขาสามารถสร้าง __VIEWSTATE ปลอมที่ดูเหมือนถูกต้องได้ทันที แม้จะมีแพตช์ออกมาในภายหลังก็อาจไม่ช่วย เพราะคีย์ที่ถูกขโมยไปแล้ว ยังสามารถใช้โจมตีต่อได้เรื่อยๆ”
การโจมตีแบบ Chain Exploit และชื่อรหัส “ToolShell”
จากรายงานของ Eye Security และ Palo Alto Networks Unit 42 พบว่าช่องโหว่นี้ถูกนำไปผนวกกับช่องโหว่อื่น เพื่อใช้ในลักษณะของ Chain Exploit โดยมีชื่อเรียกในแคมเปญว่า “ToolShell” ซึ่งช่วยให้การเจาะระบบทำได้ต่อเนื่องและแนบเนียน
ช่องโหว่ที่ถูกใช้ร่วมกัน ได้แก่:
- CVE-2025-49706: ช่องโหว่ Authentication Bypass (หลบเลี่ยงการตรวจสอบสิทธิ์)
- CVE-2025-49704: ช่องโหว่ Code Injection (ฝังคำสั่งลงในระบบ)
แฮกเกอร์จะใช้ PowerShell ส่ง payload แบบ ASPX เข้าระบบ แล้วขโมย MachineKey เพื่อรันคำสั่งและฝังตัวภายในระบบ SharePoint
รายงานการโจมตีที่เกิดขึ้นแล้ว
Eye Security เปิดเผยว่า แคมเปญการโจมตีที่ใช้ช่องโหว่นี้ได้ลุกลามไปยังเซิร์ฟเวอร์ขององค์กรต่าง ๆ มากกว่า 85 เครื่อง ทั่วโลก โดยมีกลุ่มเป้าหมายเป็นทั้งองค์กรเอกชนข้ามชาติและหน่วยงานรัฐ แฮกเกอร์สามารถเคลื่อนไหวภายในระบบ (lateral movement) ได้อย่างรวดเร็วหลังการเจาะเข้าระบบ และใช้การสื่อสารในลักษณะปกติของ SharePoint เพื่อหลบเลี่ยงการตรวจจับ
มาตรการป้องกันเบื้องต้นจาก Microsoft
แม้ในขณะนี้ Microsoft ยังไม่มีแพตช์สำหรับอุดช่องโหว่นี้โดยตรง แต่ได้แนะนำแนวทางป้องกันชั่วคราวไว้ดังนี้:
- เปิดใช้งาน AMSI Integration (Antimalware Scan Interface) บน SharePoint Server เพื่อสแกนโค้ดอันตราย (มีอยู่แล้วในอัปเดตเดือนกันยายน 2023 สำหรับ SharePoint Server 2016, 2019 และ Subscription Edition รุ่น 23H2)
- ติดตั้ง Microsoft Defender Antivirus บนทุก SharePoint Server
- ใช้ Microsoft Defender for Endpoint เพื่อช่วยตรวจจับกิจกรรมหลังการบุกรุก (post-exploit)
- หากไม่สามารถเปิด AMSI ได้ ควร ตัดการเชื่อมต่อ SharePoint Server ออกจากอินเทอร์เน็ต จนกว่าจะมีแพตช์ออกมา
CISA สหรัฐฯ ออกโรงเตือน พร้อมร่วมมือกับ Microsoft
หน่วยงาน CISA (Cybersecurity and Infrastructure Security Agency) ของสหรัฐฯ ได้ออกคำเตือนอย่างเป็นทางการเกี่ยวกับช่องโหว่นี้ โดยระบุว่ากำลังทำงานร่วมกับ Microsoft เพื่อแจ้งเตือนองค์กรที่อาจได้รับผลกระทบ และผลักดันให้มีการป้องกันล่วงหน้า
“CISA ได้รับข้อมูลการโจมตีจากพันธมิตรที่เชื่อถือได้ และกำลังประสานงานกับ Microsoft เพื่อแจ้งเตือนหน่วยงานที่อาจได้รับผลกระทบโดยตรง” — Chris Butera, Acting Executive Assistant Director for Cybersecurity
ถึงเวลาลงมือก่อนจะตกเป็นเหยื่อ
ช่องโหว่ CVE-2025-53770 ไม่ใช่แค่จุดอ่อนทางเทคนิคธรรมดา แต่มันคือประตูสู่การควบคุมระบบ SharePoint ทั้งหมดโดยไม่ต้องยืนยันตัวตน อีกทั้งยังมีความสามารถในการฝังตัวและเลียนแบบพฤติกรรมของผู้ใช้ที่ถูกต้องได้อย่างแนบเนียน
หากองค์กรของคุณยังใช้ SharePoint Server แบบ On-Premises ควรรีบตรวจสอบระบบ เปิดใช้ AMSI และ Defender ให้พร้อม และเตรียมแผนตอบสนองล่วงหน้าทันที หากยังไม่มั่นใจ ควรปรึกษาผู้เชี่ยวชาญด้านความปลอดภัยเพื่อวิเคราะห์ความเสี่ยงและวางมาตรการลดผลกระทบ
_____________________________________________________________________________________________________________________________________________________________________