Microsoft ได้เปิดเผยช่องโหว่ความรุนแรงระดับ Critical ใน SQL Server หมายเลข CVE-2026-21262 ซึ่งถูกประกาศอย่างเป็นทางการเมื่อวันที่ 10 มีนาคม 2026 โดยช่องโหว่นี้มีสาเหตุมาจากการกำหนดสิทธิ์การเข้าถึงที่ไม่ถูกต้อง
ช่องโหว่นี้ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถยกระดับสิทธิ์ผ่านระบบเครือข่ายขึ้นเป็นระดับผู้ดูแลระบบได้ทันที และรายละเอียดทางเทคนิคได้ถูกเปิดเผยออกสู่สาธารณะแล้ว ส่งผลให้ผู้ไม่หวังดีสามารถพัฒนาเครื่องมือโจมตีได้ง่ายขึ้นอย่างมาก องค์กรที่ใช้งาน SQL Server จึงควรเร่งเฝ้าระวัง และดำเนินการรับมือโดยเร็วที่สุด แม้ว่าในปัจจุบันยังไม่พบรายงานการนำไปใช้โจมตีจริง
จากรายงานแจ้งเตือนของ Microsoft ระบุว่า ผู้ไม่หวังดีที่สามารถโจมตีโดยใช้ช่องโหว่นี้ได้สำเร็จ จะได้รับสิทธิ์ในระดับ SQL sysadmin ซึ่งเป็นระดับสิทธิ์การเข้าถึงสูงสุดภายในสภาพแวดล้อมของ SQL Server ส่งผลให้ผู้โจมตีสามารถควบคุมอินสแตนซ์ของฐานข้อมูลได้อย่างสมบูรณ์
ช่องโหว่นี้มีคะแนนความรุนแรงตาม CVSS v3.1 อยู่ที่ 8.8 ซึ่งจัดอยู่ในระดับ Important โดยมีรูปแบบการโจมตีผ่านระบบเครือข่าย ที่มีความซับซ้อนต่ำ อีกทั้งยังใช้เพียงสิทธิ์การเข้าถึงระดับต่ำในการเริ่มโจมตี และไม่จำเป็นต้องอาศัยการโต้ตอบจากผู้ใช้งาน
ผลกระทบของช่องโหว่นี้ครอบคลุมมิติด้านความมั่นคงปลอดภัยที่สำคัญทั้ง 3 ด้าน ได้แก่ Confidentiality, Integrity และ Availability ซึ่งทั้งหมดถูกประเมินผลกระทบไว้ในระดับสูง ส่งผลให้ช่องโหว่นี้มีความอันตรายอย่างยิ่ง โดยเฉพาะในสภาพแวดล้อมที่มีการจัดเก็บข้อมูลที่มีความสำคัญ
ผลกระทบ
ผู้โจมตีที่ผ่านการยืนยันตัวตน และมีสิทธิ์การเข้าถึงระบบ สามารถใช้ช่องโหว่นี้ในการเข้าสู่ระบบ SQL Server และควบคุมการเข้าถึงเพื่อยกระดับเซสชันการใช้งานของตนขึ้นเป็นระดับ sysadmin การยกระดับสิทธิ์ในลักษณะนี้มีความเสี่ยงสูงมากสำหรับระบบที่ใช้งานร่วมกัน เพราะผู้ใช้งานทั่วไปที่มีสิทธิ์เข้าระบบอย่างถูกต้อง สามารถใช้ช่องโหว่นี้เพื่อจัดการฐานข้อมูลทั้งหมดได้
เวอร์ชั่นที่ได้รับการแก้ไข
Microsoft ได้ออกอัปเดตความปลอดภัยที่ครอบคลุมตั้งแต่ SQL Server 2016 ไปจนถึง SQL Server 2025 เวอร์ชันล่าสุด ทั้งนี้ ผู้ดูแลระบบควรดำเนินการตรวจสอบเวอร์ชันที่ใช้งานอยู่ในปัจจุบัน และติดตั้งแพตช์ประเภท GDR หรือ Cumulative Update (CU) ให้เหมาะสมกับระบบโดยเร็ว โดยมีรายการอัปเดตที่สำคัญดังนี้
- SQL Server 2025: KB updates 5077466 (CU2+GDR) and 5077468 (RTM+GDR)
- SQL Server 2022: KB updates 5077464 (CU23+GDR) and 5077465 (RTM+GDR)
- SQL Server 2019: KB updates 5077469 (CU32+GDR) and 5077470 (RTM+GDR)
- SQL Server 2017: KB updates 5077471 and 5077472
- SQL Server 2016: KB updates 5077473 and 5077474
สำหรับ SQL Server ที่ใช้งานบน Windows Azure สามารถรับการอัปเดตได้ผ่านช่องทาง Microsoft Update หรือดาวน์โหลดแพตช์ด้วยตนเองจาก Microsoft Download Center
ฝ่ายความปลอดภัยควรจัดลำดับความสำคัญในการติดตั้งแพตช์โดยเร่งด่วน เนื่องจากสถานะของช่องโหว่นี้ถูกเปิดเผยสู่สาธารณะแล้ว นอกจากนี้องค์กรควรดำเนินการตรวจสอบสิทธิ์ของผู้ใช้งาน SQL Server โดยจำกัดการให้สิทธิ์แบบเจาะจงให้เฉพาะบัญชีที่เชื่อถือได้เท่านั้น พร้อมทั้งเฝ้าระวังพฤติกรรมการยกระดับสิทธิ์ที่ผิดปกติภายใน Logs ของฐานข้อมูล
สำหรับเวอร์ชันที่ End of Support ไปแล้วนั้น องค์กรควรพิจารณาอัปเกรดเป็นเวอร์ชันที่ยังได้รับการสนับสนุนอยู่ เพื่อให้สามารถอัปเดตแพตช์ความปลอดภัยนี้รวมถึงการอัปเดตอื่น ๆ ได้ในอนาคตได้
ที่มา : cybersecuritynews
You must be logged in to post a comment.