Microsoft ได้เผยแพร่ข้อมูลช่องโหว่ด้านความปลอดภัยที่สำคัญใน Microsoft Teams สำหรับ Android ซึ่งช่องโหว่ดังกล่าวได้รับหมายเลข CVE-2026-42835 และมีการเปิดเผยอย่างเป็นทางการเมื่อวันที่ 9 มิถุนายน 2026 โดยช่องโหว่นี้อาจทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้ว สามารถเข้าถึงหรือเปิดเผยข้อมูลที่สำคัญผ่านระบบเครือข่ายได้
ช่องโหว่นี้เกิดจากการที่ระบบไม่ได้ล้างค่าหรือตรวจสอบองค์ประกอบพิเศษในข้อมูล output อย่างเหมาะสม ก่อนที่จะส่งต่อไปยังส่วนประกอบอื่นในระบบ ซึ่งถูกจัดอยู่ในกลุ่มช่องโหว่ประเภท CWE-74 (Injection)
ตามรายงานคำแนะนำด้านความปลอดภัยของ Microsoft ระบุว่า ช่องโหว่นี้ช่วยให้ผู้โจมตีที่มีสิทธิ์ในระบบ สามารถเปิดเผยหรือขโมยข้อมูลจากระยะไกลได้ทันที โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ ซึ่งช่องโหว่ดังกล่าวมีคะแนน CVSS 3.1 สูงถึง 8.1 คะแนนและมี Temporal Score อยู่ที่ 7.1 แสดงให้เห็นถึงความเสี่ยงที่ค่อนข้างสูง โดยมีช่องทางการโจมตีผ่านทางเครือข่าย (Attack Vector: Network) ทำให้เป็นการยืนยันว่าช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลผ่านอินเทอร์เน็ตได้
เนื่องจากความซับซ้อนในการโจมตีอยู่ในระดับต่ำ ผู้โจมตีจึงไม่จำเป็นต้องมีความรู้ขั้นสูงเกี่ยวกับระบบเป้าหมายและสามารถโจมตีได้สำเร็จอย่างง่ายดาย เพียงแค่ส่งชุดข้อมูลอันตราย (Payload) ที่สร้างขึ้นมาเป็นพิเศษไปยัง component ที่มีช่องโหว่
Microsoft ยืนยันว่า หากการโจมตีสำเร็จ ผู้โจมตีจะสามารถอ่านข้อมูลบางส่วนใน Heap Memory ได้ แม้ว่าขอบเขตของข้อมูลที่หลุดออกไปจะดูเหมือนมีจำกัด แต่ Heap Memory นั้นอาจมีข้อมูลสำคัญในขณะที่ระบบกำลังทำงานอยู่ เช่น Authentication Tokens, Session Data หรือข้อมูลรหัสผ่านที่ถูกบันทึกชั่วคราว ทำให้การเปิดเผยข้อมูลเพียงบางส่วนเป็นเรื่องที่น่ากังวลอย่างมากในสภาพแวดล้อมขององค์กร
ตัวชี้วัดของ CVSS ระบุว่า ช่องโหว่นี้ส่งผลกระทบสูงมากต่อ Confidentiality และ Availability แต่ไม่ส่งผลกระทบต่อ Integrity ขณะที่ Privileges Required ของผู้โจมตีอยู่ในระดับต่ำ ซึ่งหมายความว่า ผู้ใช้งานระบบคนใดก็ตามที่ผ่านการยืนยันตัวตนแล้ว แม้จะเป็นบัญชีที่มีสิทธิ์ต่ำสุด ก็สามารถใช้ประโยชน์จากช่องโหว่นี้ได้
การประเมินความเสี่ยงในการถูกโจมตีของ Microsoft จัดให้ช่องโหว่นี้อยู่ในระดับ "มีแนวโน้มถูกโจมตีได้ยาก" โดยช่องโหว่ดังกล่าวยังไม่ได้ถูกเปิดเผยต่อสาธารณะและยังไม่มีรายงานการตรวจพบว่าถูกนำไปใช้โจมตีจริง ณ ช่วงเวลาที่เผยแพร่ข้อมูลนี้ นอกจากนี้โค้ดที่ใช้ในการโจมตียังอยู่ในระดับที่ "ยังไม่ได้รับการพิสูจน์" และในปัจจุบันทาง Microsoft ได้มีการแก้ไขอย่างเป็นทางการแล้ว
Microsoft ได้ออกอัปเดตความปลอดภัยสำหรับ Microsoft Teams บนระบบปฏิบัติการ Android เรียบร้อยแล้ว ซึ่งสามารถดาวน์โหลดได้ผ่านทาง Google Play Store ทั้งนี้ ทาง Microsoft แนะนำอย่างยิ่งให้ผู้ใช้งานทั่วไปและผู้ดูแลระบบขององค์กร ดำเนินการอัปเดตแอปพลิเคชันให้เป็นเวอร์ชันล่าสุดในทันที ผ่านหน้าเพจของ Microsoft Teams บน Google Play
องค์กรที่ใช้ Microsoft Teams สำหรับการสื่อสารภายใน ควรให้ความสำคัญกับการอัปเดตนี้ โดยเฉพาะอย่างยิ่งเมื่อพิจารณาจากการที่แอปพลิเคชันนี้มีการใช้งานอย่างแพร่หลายในการพูดคุยสนทนาทางธุรกิจและการรับส่งแบ่งปันไฟล์ข้อมูลภายในองค์กร
ช่องโหว่นี้ได้รับการรายงานและเปิดเผยอย่างมีความรับผิดชอบ โดย Ofek Levin จากบริษัท Enclave ผ่านโปรแกรมการรายงานช่องโหว่ความปลอดภัยร่วมกันของ Microsoft
ที่มา : Cybersecuritynews
You must be logged in to post a comment.