Microsoft ได้ออกแพตช์ฉุกเฉินสำหรับอุดช่องโหว่ความปลอดภัยร้ายแรงใน SharePoint Server ที่กำลังถูกใช้โจมตีจริงในโลกไซเบอร์สองรายการ ได้แก่ CVE‑2025‑53770 และ CVE‑2025‑53771 ซึ่งส่งผลกระทบต่อบริการต่างๆ ทั่วโลกในการโจมตีแบบ ToolShell
ที่มาของช่องโหว่
ช่องโหว่นี้ถูกพบครั้งแรกจากงาน Pwn2Own Berlin ที่นักวิจัยด้านความปลอดภัยแสดงการโจมตีจริงต่อหน้าคณะกรรมการ ซึ่ง Microsoft เคยพยายามอุดช่องโหว่ไปแล้วในก่อนหน้านี้ แต่ผู้โจมตียังสามารถหาทางหลบเลี่ยงแพตช์เดิม และเริ่มมีการโจมตีจริงในแคมเปญที่ชื่อว่า ToolShell โดยกลุ่มแฮกเกอร์ระดับสูงที่มุ่งเป้าโจมตีหน่วยงานรัฐ มหาวิทยาลัย สาธารณูปโภค และภาคโทรคมนาคมในเอเชีย โดยเฉพาะระบบที่ยังรัน SharePoint แบบ on‑premises
จากรายงานล่าสุด มีองค์กรอย่างน้อย 54 แห่งทั่วโลกที่ตกเป็นเป้าหมาย ซึ่งการโจมตีจะเน้นการขโมยคีย์เข้ารหัสของเซิร์ฟเวอร์เพื่อนำมาใช้วาง backdoor และเข้าถึงระบบได้แม้จะอัปเดตแพตช์แล้วก็ตาม
แพตช์ล่าสุด & การอัปเดต
สำหรับแพตช์ที่ปล่อยออกมานั้นจะครอบคลุมเวอร์ชัน SharePoint Server หลัก ๆ ดังนี้
- KB5002754 สำหรับ Microsoft SharePoint Server 2019 และ KB5002753 สำหรับ SharePoint Server 2019 Language Pack
- KB5002760 สำหรับ Microsoft SharePoint Enterprise Server 2016 และ KB5002759 สำหรับ Microsoft SharePoint Enterprise Server 2016 Language Pack
- KB5002768 สำหรับ Microsoft SharePoint Subscription Edition
หมุนคีย์เครื่อง (Machine Keys)
หลังจากอัปเดตแล้ว Microsoft ยังแนะนำให้ผู้ดูแลระบบหมั่นหมุนคีย์ของเครื่อง เพื่อป้องกันไม่ให้แฮกเกอร์ที่ขโมยคีย์ไปก่อนหน้านี้ยังเข้ามาได้อีกในอนาคต โดยสามารถทำได้ผ่านช่องทางต่อไปนี้
1. ผ่าน PowerShell
- สร้างคีย์ใหม่ด้วย Set‑SPMachineKey -WebApplication <…>
- นำคีย์ไปใช้ด้วย Update‑SPMachineKey -WebApplication <…>
2. ผ่าน Central Admin
- เข้าไปที่ Monitoring → Review job definition → รัน Machine Key Rotation Job
- จากนั้น รีสตาร์ท IIS บนทุกเครื่องด้วย iisreset.exe
คำแนะนำเพิ่มเติม
นอกจากการอัปเดตแพตช์และหมุนคีย์แล้ว Microsoft ยังให้คำแนะนำเพิ่มเติมอย่าง
- ตรวจสอบ logs และไฟล์ระบบว่าเคยมีการวางไฟล์หรือโค้ดอันตรายหรือไม่ เพราะแม้จะอัปเดตแพตช์แล้ว หากระบบของคุณเคยถูกโจมตีก่อนหน้านี้ ก็ยังมีโอกาสที่ backdoor จะยังซ่อนอยู่
- เปิดใช้ AMSI Integration พร้อมติดตั้ง Defender AV บนเซิร์ฟเวอร์ SharePoint หากยังไม่อัปเดตหรือยังไม่พร้อม
ข่าวดีคือ SharePoint Online (แบบที่อยู่ใน Microsoft 365) ไม่ได้รับผลกระทบจากช่องโหว่นี้ เนื่องจากรันอยู่ในระบบคลาวด์ของ Microsoft โดยตรง ใครที่ใช้งานแบบ Online อย่างเดียวก็สามารถอุ่นใจได้ในระดับหนึ่ง แต่หากใช้ SharePoint แบบติดตั้งบนเซิร์ฟเวอร์เอง (on-premises) แนะนำให้อัปเดตแพตช์ และหมุนคีย์โดยด่วน ก่อนที่ผู้ไม่หวังดีจะเข้ามาทำให้เรื่องบานปลายได้
หากคุณไม่แน่ใจว่าองค์กรของคุณปลอดภัยแล้วหรือยัง…. ให้ hostatom ดูแลความปลอดภัยของข้อมูลคุณ ตั้งแต่ระบบอีเมลไปจนถึงไฟล์บนคลาวด์
ดูบริการ Microsoft 365 จาก hostatom ได้ที่ : https://www.hostatom.com/microsoft-365
ที่มา : BleepingComputer
