Microsoft แก้ไข 3 ช่องโหว่ระดับ Critical บน Microsoft 365 Copilot ที่อาจทำให้ข้อมูลสำคัญรั่วไหลได้
Microsoft ได้เปิดเผย และแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical จำนวน 3 รายการ ที่ส่งผลกระทบโดยตรงต่อ Microsoft 365 Copilot และ Copilot Chat ใน Microsoft Edge โดยช่องโหว่ทั้งหมดได้รับการแก้ไขเรียบร้อยแล้วเมื่อวันที่ 7 พฤษภาคม 2026 ซึ่งผู้ใช้งานทั่วไป และผู้ดูแลระบบ ไม่จำเป็นต้องดำเนินการใด ๆ เพิ่มเติม
ศูนย์ตอบสนองด้านความปลอดภัยของ Microsoft ได้เผยแพร่คำแนะนำเกี่ยวกับช่องโหว่ CVE-2026-26129, CVE-2026-26164 และ CVE-2026-33111 ซึ่งเป็นส่วนหนึ่งของความมุ่งมั่นอย่างต่อเนื่องในการสร้างความโปร่งใสในบริการคลาวด์ของบริษัท ภายใต้โครงการ “Toward Greater Transparency” โดยทั้ง 3 รายการ ถูกจัดอยู่ในกลุ่มช่องโหว่ประเภท Information Disclosure
รายละเอียด ช่องโหว่ของ Microsoft 365 Copilot
CVE-2026-26129: ความเสี่ยงระดับ Critical บน Business Chat ช่องโหว่นี้ส่งผลกระทบต่อ Business Chat ของ Microsoft 365 Copilot โดยตรง สาเหตุหลักเกิดจากกระบวนการจัดการ special elements ในข้อมูล output ที่ทำได้ไม่ดีพอ ซึ่งอาจเปิดช่องให้ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถดักขโมยข้อมูลสำคัญผ่านเครือข่ายได้ แม้จะยังไม่มีการประกาศคะแนน CVSS อย่างเป็นทางการ แต่การจัดลำดับความรุนแรงไว้ที่ระดับ Critical แสดงให้เห็นถึงความเสี่ยงสูงต่อการรักษาความลับของข้อมูลในโมเดลการเข้าถึงข้อมูลระดับองค์กรของ Copilot
CVE-2026-26164: ช่องโหว่ประเภท Injection ผ่านเครือข่าย เป็นอีกหนึ่งช่องโหว่ที่มุ่งเป้าไปที่ M365 Copilot โดยถูกจัดอยู่ในประเภท CWE-74 คือ การจัดการข้อมูล output ไม่เหมาะสมจนนำไปสู่การ Injection และสามารถโจมตีผ่านเครือข่ายได้โดยไม่ต้องใช้สิทธิ์ หรือการโต้ตอบจากผู้ใช้ อย่างไรก็ตาม Microsoft ประเมินว่าโอกาสที่จะถูกนำไปใช้จริงนั้นยังมีน้อย และยังไม่พบ exploit code ในขณะนี้
CVE-2026-33111: Command Injection บน Microsoft Edge ช่องโหว่นี้ส่งผลกระทบต่อ Copilot Chat ที่ฝังอยู่ในเบราว์เซอร์ Microsoft Edge โดยถูกจัดอยู่ในกลุ่ม CWE-77 หรือ Command Injection ช่องโหว่นี้มีคะแนนความรุนแรง CVSS ที่ 7.5 เท่ากับ ช่องโหว่ก่อนหน้านี้ คือ CVE-2026-26164 และมีรูปแบบการโจมตีเหมือนกัน
ช่องโหว่ทั้ง 3 รายการเป็นที่น่ากังวล เนื่องจากเบราว์เซอร์ Edge มีการใช้งานอย่างแพร่หลายในองค์กร ทำให้กลายเป็นเป้าหมายหลักในการโจมตี เนื่องจาก Microsoft 365 Copilot ทำหน้าที่รวบรวม และประมวลผลข้อมูลในองค์กร ทั้งอีเมล, เอกสาร หรือการสนทนาใน Teams ดังนั้นช่องโหว่ในการจัดการกับ special elements หรือ Command Injection จึงอาจเปิดช่องให้ข้อมูลที่สำคัญรั่วไหลได้
Microsoft ได้ให้เครดิตแก่ Estevam Arantes จาก Microsoft สำหรับการค้นพบช่องโหว่ CVE-2026-26129 และ CVE-2026-26164 รวมถึงให้เครดิตเพิ่มเติมแก่ 0xSombra นักวิจัยอิสระสำหรับช่องโหว่ CVE-2026-26164
สำหรับช่องโหว่ CVE-2026-33111 ไม่มีการระบุชื่อผู้ค้นพบ ทั้งนี้ Microsoft ยืนยันว่าช่องโหว่ทั้งสามรายการยังไม่เคยถูกเปิดเผยต่อสาธารณะ หรือถูกนำไปใช้โจมตีจริงก่อนที่จะมีการประกาศนี้
เนื่องจากทั้งสามรายการเป็นช่องโหว่ในระดับคลาวด์ Microsoft จึงได้ดำเนินการแก้ไขที่ระดับของ service แล้ว องค์กรต่าง ๆ จึงไม่จำเป็นต้องติดตั้งแพตช์ หรือปรับแต่งค่า Configuration ใด ๆ
ข้อแนะนำสำหรับทีมความปลอดภัย
อย่างไรก็ตาม ทีมความปลอดภัยได้รับคำแนะนำให้ตรวจสอบสิทธิ์การเข้าถึงข้อมูลของ Copilot และบังคับใช้หลักการให้สิทธิ์ขั้นต่ำเท่าที่จำเป็น เพื่อลดความเสี่ยงหากเกิดช่องโหว่ในลักษณะเดียวกันนี้ในอนาคต
ที่มา : Cybersecuritynews
You must be logged in to post a comment.