การกำหนดค่าระบบ Hybrid Exchange คือการเชื่อมต่อระหว่างเซิร์ฟเวอร์ Exchange ภายในองค์กรเข้ากับ Exchange Online เพื่อให้สามารถรวมการทำงานของอีเมล และปฏิทินเข้าด้วยกันได้อย่างราบรื่นระหว่าง mailboxes ในองค์กร และบนคลาวด์ รวมถึงการใช้งานปฏิทินร่วมกัน รายชื่อผู้ติดต่อทั่วทั้งองค์กร และการส่งรับอีเมล
อย่างไรก็ตาม ในระบบ Hybrid Exchange เซิร์ฟเวอร์ Exchange ภายในองค์กร และ Exchange Online จะใช้ service principal เดียวกัน ซึ่งเป็นข้อมูลระบุตัวตนที่ใช้ร่วมกันสำหรับการยืนยันตัวตนระหว่างทั้งสอง environment
ผู้โจมตีที่สามารถเข้าควบคุมเซิร์ฟเวอร์ Exchange ภายในองค์กร อาจใช้ช่องโหว่ของการใช้ข้อมูลระบุตัวตนที่ใช้ร่วมกันในการปลอมแปลงโทเค็น หรือคำสั่ง API ที่ระบบ Exchange Online บนคลาวด์ให้ยอมรับว่าเป็นข้อมูลที่ถูกต้อง เนื่องจากระบบคลาวด์จะ trusts เซิร์ฟเวอร์ภายในองค์กรโดยอัตโนมัติ ส่งผลให้เกิดความเสี่ยงด้านความปลอดภัยที่อาจไม่ถูกตรวจจับได้
นอกจากนี้ การดำเนินการที่เกิดขึ้นจากเซิร์ฟเวอร์ Exchange ภายในองค์กร อาจไม่ถูกบันทึกในระบบ Log ที่เกี่ยวข้องกับพฤติกรรมที่เป็นอันตรายใน Microsoft 365 ดังนั้น การตรวจสอบความปลอดภัยแบบดั้งเดิมที่ใช้ในคลาวด์ เช่น Microsoft Purview หรือบันทึกการตรวจสอบของ M365 อาจไม่สามารถตรวจจับการละเมิดความปลอดภัยที่มีต้นทางจากเซิร์ฟเวอร์ภายในองค์กรได้
Microsoft ระบุในคำแนะนำด้านความปลอดภัยเมื่อวันพุธ โดยอธิบายถึงช่องโหว่ระดับความรุนแรงสูงในการยกระดับสิทธิ์ ที่มีหมายเลขอ้างอิง CVE-2025-53786 “ในระบบ Hybrid Exchange ผู้โจมตีที่สามารถเข้าถึงสิทธิ์ระดับผู้ดูแลระบบ บนเซิร์ฟเวอร์ Exchange ภายในองค์กรได้ก่อน อาจสามารถยกระดับสิทธิ์ภายใน environment บนคลาวด์ที่เชื่อมต่อกันโดยไม่ทิ้งร่องรอยที่ตรวจจับ และตรวจสอบได้”
"ช่องโหว่นี้ส่งผลกระทบต่อ Exchange Server 2016 และ Exchange Server 2019 รวมถึง Microsoft Exchange Server Subscription Edition ซึ่งเป็นเวอร์ชันล่าสุดที่มาแทนที่การใช้งานแบบเดิมด้วยเวอร์ชัน subscription
"แม้ว่า Microsoft จะยังไม่พบการโจมตีช่องโหว่นี้ในระบบจริง แต่บริษัทได้จัดระดับความเสี่ยงไว้ที่ "มีแนวโน้มที่จะถูกโจมตีมากขึ้น" เนื่องจากการวิเคราะห์พบว่าโค้ดสำหรับการโจมตีช่องโหว่นี้สามารถถูกพัฒนาได้อย่างต่อเนื่อง ทำให้ช่องโหว่นี้มีความน่าสนใจ และเสี่ยงต่อการถูกโจมตีมากขึ้น"
Total domain compromise
CISA ได้ออกคำแนะนำแยกต่างหากเกี่ยวกับปัญหานี้ และแนะนำให้ผู้ดูแลระบบเครือข่ายที่ต้องการป้องกันระบบแบบ Hybrid Exchange จากการโจมตีที่อาจเกิดขึ้นจากช่องโหว่ CVE-2025-53786 ดำเนินการดังนี้:
- ติดตั้งอัปเดตแพตช์ Exchange Server ประจำเดือนเมษายน 2025 บนเซิร์ฟเวอร์ Exchange ภายในองค์กร และปฏิบัติตามคำแนะนำการตั้งค่าของ Microsoft สำหรับการติดตั้งแอป Exchange hybrid เฉพาะสำหรับระบบนี้
- สำหรับองค์กรที่ใช้งาน Exchange hybrid หรือเคยตั้งค่าไว้แต่เลิกใช้งานแล้ว ควรตรวจสอบ และรีเซ็ต credentials ของ service principal ด้วยโหมด Service Principal Clean-Up ของ Microsoft
- หลังจากดำเนินการเสร็จสิ้น ให้รันโปรแกรม Microsoft Exchange Health Checker เพื่อตรวจสอบว่าจำเป็นต้องดำเนินการเพิ่มเติมหรือไม่
CISA เตือนว่า หากไม่ดำเนินการลดผลกระทบจากช่องโหว่นี้ อาจนำไปสู่การบุกรุกโดเมนทั้งระบบ ทั้งบนคลาวด์ และภายในองค์กรอย่างสมบูรณ์ และเรียกร้องให้ผู้ดูแลระบบตัดการเชื่อมต่อเซิร์ฟเวอร์ที่เปิดให้เข้าถึงจากอินเทอร์เน็ตซึ่งใช้ Exchange Server หรือ SharePoint Server ที่สิ้นสุดการสนับสนุน หรือสิ้นสุดการให้บริการ ออกจากอินเทอร์เน็ตทันที
ในเดือนมกราคมที่ผ่านมา Microsoft ยังได้เตือนผู้ดูแลระบบว่า Exchange 2016 และ Exchange 2019 จะสิ้นสุดการสนับสนุนที่ถูกต่ออายุมาในเดือนตุลาคมนี้ พร้อมทั้งแนะนำแนวทางสำหรับองค์กรที่ต้องการยกเลิกใช้งานเซิร์ฟเวอร์รุ่นเก่า โดยแนะนำให้ย้ายไปใช้ Exchange Online หรืออัปเกรดเป็น Exchange Server Subscription Edition
ในช่วงไม่กี่ปีที่ผ่านมา กลุ่มแฮ็กเกอร์ที่มีแรงจูงใจทางการเงิน และกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลได้ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยหลายรายการของ Exchange รวมถึงช่องโหว่แบบ zero-day อย่าง ProxyLogon และ ProxyShell เพื่อเจาะระบบเซิร์ฟเวอร์
ตัวอย่างเช่น ในเดือนมีนาคม 2021 กลุ่มแฮ็กเกอร์อย่างน้อยสิบกลุ่มได้ใช้ช่องโหว่ ProxyLogon ในการโจมตี โดยมีหนึ่งในกลุ่มที่ได้รับการติดตามในชื่อ Hafnium หรือ Silk Typhoon ซึ่งได้รับการสนับสนุนจากจีน
สองปีที่แล้ว ในเดือนมกราคม 2023 Microsoft ได้เร่งให้ลูกค้าทำการอัปเดต Cumulative Update ล่าสุดที่ได้รับการสนับสนุน และช่วยเซิร์ฟเวอร์ Exchange ภายในองค์กรให้อัปเดตอยู่เสมอ เพื่อให้พร้อมสำหรับการติดตั้งอัปเดตความปลอดภัยฉุกเฉินได้ทันที
ที่มา : bleepingcomputer
Microsoft ได้ออกประกาศแจ้งเตือนลูกค้าเกี่ยวกับช่องโหว่ความปลอดภัยระดับสูงในระบบเซิร์ฟเวอร์แบบ Hybrid Exchange ซึ่งอาจเปิดโอกาสให้ผู้ไม่หวังดีสามารถยกระดับสิทธิ์การเข้าถึงใน Exchange Online environment บนคลาวด์ได้โดยไม่ถูกตรวจพบ ทั้งนี้ Microsoft แนะนำให้ผู้ใช้งานดำเนินการลดความเสี่ยงโดยด่วน เพื่อป้องกันการถูกโจมตีจากภัยคุกคามที่อาจเกิดขึ้น