Microsoft ออกมาเปิดเผยว่า ขณะนี้มีการโจมตีจากแฮ็กเกอร์กลุ่มใหญ่ที่มาจากประเทศจีน โดยอาศัยช่องโหว่ในซอฟต์แวร์ SharePoint ที่หลายองค์กรใช้งานอยู่ โดยเฉพาะเวอร์ชันที่ติดตั้งใช้งานภายใน (on-premises)
การโจมตีนี้เริ่มต้นตั้งแต่ช่วงต้นเดือนกรกฎาคม 2025 และพบว่ามีแฮ็กเกอร์ถึง 3 กลุ่ม ได้แก่ Linen Typhoon, Violet Typhoon และ Storm-2603 ซึ่งทั้งหมดนี้มีประวัติการโจมตีองค์กรระดับโลกในอดีต
ช่องโหว่ที่ถูกนำมาใช้
แฮ็กเกอร์ใช้ช่องโหว่ที่ยังไม่มีการอุดอย่างสมบูรณ์ ได้แก่:
- CVE-2025-49706 (Spoofing)
- CVE-2025-49704 (Remote Code Execution)
แม้ช่องโหว่จะเคยได้รับการแก้ไขไปแล้ว แต่แฮ็กเกอร์สามารถหาวิธีเลี่ยงการป้องกันเดิมได้ จนเกิดเป็นช่องโหว่ใหม่ที่มีชื่อว่า:
- CVE-2025-53771
- CVE-2025-53770
วิธีการโจมตี
แฮ็กเกอร์ส่งคำสั่งพิเศษผ่านหน้า ToolPane ของ SharePoint โดยไม่ต้องล็อกอินเข้าสู่ระบบ และใช้ไฟล์เว็บเชลล์ชื่อว่า spinstall0.aspx (หรือชื่อคล้ายกัน) เพื่อเข้าควบคุมเครื่องและดึงข้อมูลภายใน เช่น คีย์เข้ารหัสของระบบ (MachineKey)
ความเสี่ยง
หากองค์กรยังไม่ได้อัปเดต SharePoint เป็นเวอร์ชันล่าสุด แฮ็กเกอร์สามารถ:
- เข้าถึงข้อมูลสำคัญของระบบได้
- เปลี่ยนแปลงการทำงานของระบบ
- สร้างบัญชีแอดมินแฝงเพื่อควบคุมระบบในระยะยาว
- แฝงตัวโดยใช้การปลอมพฤติกรรมเหมือนระบบอัปเดตของ Google เพื่อหลีกเลี่ยงการตรวจจับ
คำแนะนำจาก Microsoft
Microsoft แนะนำให้องค์กรที่ใช้ SharePoint:
- อัปเดตเป็นเวอร์ชันล่าสุดทันที
- เปลี่ยนคีย์ MachineKey ใหม่
- รีสตาร์ท IIS
- เปิดใช้งานระบบป้องกันอย่าง Microsoft Defender for Endpoint และ AMSI (Antimalware Scan Interface)
การโจมตีครั้งนี้แสดงให้เห็นว่าแม้แต่ระบบระดับองค์กรก็ยังตกเป็นเป้าหมายของภัยคุกคามขั้นสูงจากรัฐชาติ หากไม่รีบอุดช่องโหว่ ระบบของคุณอาจตกอยู่ในความเสี่ยงโดยไม่รู้ตัว
หากคุณใช้ SharePoint บนโฮสติ้งขององค์กรหรือเซิร์ฟเวอร์ส่วนตัว แนะนำให้ตรวจสอบความปลอดภัยของระบบอย่างสม่ำเสมอ หรือหากสนใจใน บริการ Microsoft 365 Business ราคาพิเศษ เลือก hostatom
ที่มา: The Hacker News
