เมื่อวันพฤหัสบดีที่ผ่านมา Microsoft ได้เผยแพร่วิธีการลดผลกระทบสำหรับช่องโหว่ที่มีความรุนแรงระดับสูงบน Exchange Server ที่กำลังถูกนำไปใช้ในการโจมตีจริง ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถรันโค้ดตามที่ต้องการผ่านช่องโหว่ Cross-Site Scripting (XSS) โดยมุ่งเป้าไปที่ผู้ใช้งาน Outlook บนเว็บ
Microsoft ระบุว่า ช่องโหว่ด้านความปลอดภัยนี้มีหมายเลข CVE-2026-42897 โดยระบุว่าเป็นช่องโหว่ประเภท Spoofing ซึ่งส่งผลกระทบต่อซอฟต์แวร์ที่อัปเดตเป็นเวอร์ชันล่าสุดแล้ว ได้แก่ Exchange Server 2016, Exchange Server 2019 และ Exchange Server Subscription Edition (SE)
แม้ว่าปัจจุบันจะยังไม่มีแพตช์สำหรับแก้ไขช่องโหว่นี้อย่างถาวร แต่ทาง Microsoft ระบุว่าบริการ Exchange Emergency Mitigation Service (EEMS) จะช่วยลดผลกระทบให้โดยอัตโนมัติสำหรับเซิร์ฟเวอร์ Exchange Server 2016, 2019 และ SE แบบ On-premises
ทีมงาน Exchange ระบุว่า "ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่งอีเมลที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังผู้ใช้ หากผู้ใช้เปิดอ่านอีเมลดังกล่าวใน Outlook Web Access และมีการโต้ตอบบางอย่างที่ตรงตามเงื่อนไข ผู้โจมตีก็จะสามารถรันโค้ด JavaScript บนเบราว์เซอร์ของผู้ใช้ได้"
"การใช้บริการ EM Service เป็นวิธีที่ดีที่สุดสำหรับองค์กรในการลดผลกระทบจากช่องโหว่นี้ได้ในทันที หากปัจจุบันมีการปิดใช้งาน EM Service อยู่ ขอแนะนำให้เปิดใช้งานโดยด่วน และโปรดทราบว่า EM Service จะไม่สามารถตรวจสอบหาวิธีการลดผลกระทบใหม่ ๆ ได้ หากเซิร์ฟเวอร์ของคุณยังเป็น Exchange Server เวอร์ชันที่เก่ากว่าเดือนมีนาคม 2023"
EEMS ถูกเปิดตัวเมื่อเดือนกันยายน 2021 เพื่อให้การป้องกันอัตโนมัติสำหรับเซิร์ฟเวอร์ Exchange แบบ On-premises ช่วยรักษาความปลอดภัยจากการโจมตีที่เกิดขึ้นอย่างต่อเนื่อง โดยการใช้มาตรการลดผลกระทบชั่วคราวสำหรับช่องโหว่ที่มีความเสี่ยงสูง และมีแนวโน้มสูงที่จะถูกนำไปใช้ในการโจมตีจริง
EEMS จะทำงานเป็น Windows service บนเซิร์ฟเวอร์ Exchange Mailbox และจะถูกเปิดใช้งานโดยอัตโนมัติบนเซิร์ฟเวอร์เพื่อทำหน้าที่เป็น Mailbox ฟีเจอร์ด้านความปลอดภัยนี้ถูกเพิ่มเข้ามาหลังจากกลุ่มแฮ็กเกอร์จำนวนมากใช้ประโยชน์จากช่องโหว่ Zero-day อย่าง ProxyLogon และ ProxyShell (ซึ่งในตอนนั้นยังไม่มีแพตช์แก้ไข หรือข้อมูลวิธีการลดผลกระทบ) เพื่อเจาะเข้าสู่เซิร์ฟเวอร์ Exchange ที่เชื่อมต่อกับอินเทอร์เน็ต
ผู้ดูแลระบบที่ดูแลเซิร์ฟเวอร์ในสภาพแวดล้อมแบบ Air-gapped ก็สามารถลดผลกระทบจากช่องโหว่นี้ได้ด้วยการดาวน์โหลดเครื่องมือ Exchange on-premises Mitigation Tool (EOMT) เวอร์ชันล่าสุด และใช้วิธีการลดผลกระทบโดยการรันสคริปต์ผ่านทางโปรแกรม Exchange Management Shell (EMS) ด้วยสิทธิ์ผู้ดูแลระบบ โดยเลือกใช้คำสั่งใดคำสั่งหนึ่งดังต่อไปนี้
- Single server: .\EOMT.ps1 -CVE "CVE-2026-42897"
- All servers: Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"
อย่างไรก็ตาม ข้อสำคัญที่ควรทราบคือ การใช้วิธีการลดผลกระทบบนเซิร์ฟเวอร์ที่มีช่องโหว่จะทำให้เกิดปัญหาบางประการตามมา ซึ่งได้แก่
- ฟังก์ชัน OWA Print Calendar อาจไม่ทำงาน เพื่อเป็นการแก้ปัญหาเฉพาะหน้า Microsoft แนะนำให้ใช้วิธีการคัดลอกข้อมูล ถ่ายภาพหน้าจอของปฏิทินที่ต้องการพิมพ์ หรือสลับไปใช้งานผ่านโปรแกรม Outlook Desktop แทน
- รูปภาพที่แทรกอยู่ในเนื้อหาอีเมล อาจแสดงผลไม่ถูกต้องในหน้าต่าง Reading pane บน OWA ของผู้รับ เพื่อเป็นการแก้ปัญหาเฉพาะหน้า ขอแนะนำให้ผู้ใช้ส่งรูปภาพเป็นไฟล์แนบมากับอีเมล หรือใช้งานผ่านโปรแกรม Outlook Desktop
- ฟีเจอร์ OWA light (URL ของ OWA ที่ลงท้ายด้วย /?layout=light) จะทำงานไม่ถูกต้อง (ฟีเจอร์นี้ถูกยกเลิกการสนับสนุนไปเมื่อหลายปีก่อน และไม่ได้มีไว้สำหรับการนำมาใช้งานจริงตามปกติ)
Microsoft มีแผนที่จะออกแพตช์อัปเดตสำหรับ Exchange SE RTM, Exchange 2016 CU23 รวมถึง Exchange Server 2019 CU14 และ CU15 แต่ระบุว่าการอัปเดตสำหรับ Exchange 2016 และ 2019 จะมีให้เฉพาะลูกค้าที่ลงทะเบียนในโปรแกรม Period 2 Exchange Server ESU (Extended Security Updates) เท่านั้น
ในเดือนตุลาคม 2025 ที่ผ่านมา เพียงไม่กี่สัปดาห์หลังจากที่ Exchange 2016 และ 2019 สิ้นสุดระยะเวลาการสนับสนุน ทางหน่วยงาน CISA และ NSA ของสหรัฐฯ ได้เผยแพร่คำแนะนำเพื่อช่วยผู้ดูแลระบบด้านไอทีในการเสริมความปลอดภัยให้กับเซิร์ฟเวอร์ Microsoft Exchange เพื่อป้องกันการถูกโจมตี
ในช่วง 5 ปีที่ผ่านมา CISA ได้เพิ่มช่องโหว่ของ Microsoft Exchange Server จำนวน 19 รายการลงในรายชื่อช่องโหว่ด้านความปลอดภัยที่ถูกนำไปใช้ในการโจมตีจริง ซึ่งมีช่องโหว่ 14 รายการในนั้นถูกนำไปใช้ในการโจมตีด้วย Ransomware ด้วยเช่นกัน
ที่มา : Bleepingcomputer
You must be logged in to post a comment.