Microsoft ได้เปิดเผยช่องโหว่ด้านความปลอดภัยที่สำคัญใน SharePoint Server ซึ่งอาจอนุญาตให้ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถเรียกใช้โค้ดที่ต้องการจากระยะไกลได้ในหลายเวอร์ชันของแพลตฟอร์ม
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-45659 และมีการเผยแพร่เมื่อวันที่ 21 พฤษภาคม 2026 ซึ่งก่อให้เกิดความเสี่ยงอย่างมากต่อองค์กรที่ใช้งาน SharePoint แบบติดตั้งภายในองค์กร (On-premises)
ช่องโหว่ดังกล่าวมีสาเหตุมาจากกระบวนการ Deserialization ของข้อมูลที่ไม่น่าเชื่อถือภายใน Microsoft Office SharePoint เมื่อถูกเจาะระบบ จะทำให้ผู้โจมตีบนเครือข่ายสามารถเรียกใช้โค้ดจากระยะไกลบนเซิร์ฟเวอร์ที่ได้รับผลกระทบได้
Microsoft ประเมินความรุนแรงของช่องโหว่นี้อยู่ในระดับ Important โดยในปัจจุบันประเมินว่ามีโอกาสถูกนำไปใช้ในการโจมตีน้อยมาก อย่างไรก็ตาม ความซับซ้อนในการโจมตีที่อยู่ในระดับต่ำทำให้มันเป็นภัยคุกคามที่น่าจับตามอง และควรจัดการในทันที
สิ่งที่ทำให้ช่องโหว่ดังกล่าวน่ากังวลเป็นพิเศษคืออุปสรรคในการโจมตีที่ต่ำมาก ผู้ใช้ที่ผ่านการยืนยันตัวตนที่มีสิทธิ์อย่างน้อยในระดับ Site Member ก็สามารถกระตุ้นให้เกิดช่องโหว่ได้ โดยไม่จำเป็นต้องใช้สิทธิ์ผู้ดูแลระบบหรือสิทธิ์ขั้นสูงใดๆ
ช่องทางการโจมตีดังกล่าวเป็นรูปแบบผ่านเครือข่าย (AV:N) โดยมีความซับซ้อนในการโจมตีอยู่ในระดับต่ำ (AC:L) ซึ่งหมายความว่าผู้โจมตีไม่จำเป็นต้องมีความรู้ความเข้าใจเฉพาะทางเกี่ยวกับระบบเป้าหมายล่วงหน้า และสามารถดำเนินการเจาะระบบผ่านอินเทอร์เน็ตได้อย่างแม่นยำและสามารถทำซ้ำได้
เวอร์ชันที่ได้รับผลกระทบ และการอัปเดตแพตช์
Microsoft ได้ปล่อยอัปเดตความปลอดภัยสำหรับ SharePoint Server ทุกเวอร์ชันที่ได้รับผลกระทบ องค์กรต่างๆ ควรดำเนินการอัปเดตแพตช์ในทันที
แนวทางการลดผลกระทบ
ทีมรักษาความปลอดภัยควรดำเนินการตามขั้นตอนดังต่อไปนี้โดยทันที
- ติดตั้งอัปเดตด้านความปลอดภัยประจำวันที่ 21 พฤษภาคม 2026 สำหรับ SharePoint ทุกเวอร์ชันที่ได้รับผลกระทบ ผ่านทาง Microsoft Update Catalog หรือดาวน์โหลดโดยตรง
- ตรวจสอบสิทธิ์การเป็น Site membership และจำกัดสิทธิ์การเข้าถึงในระดับ Site Member ให้เฉพาะผู้ใช้ที่เชื่อถือได้เท่านั้น
- ตรวจสอบ Logs การทำงานของ SharePoint Server เพื่อหากิจกรรม Deserialization ที่ผิดปกติ หรือความพยายามในการเรียกใช้โค้ดที่เป็นอันตราย
- Isolate instances ของ SharePoint ที่เชื่อมต่อกับอินเทอร์เน็ตออกไปก่อน จนกว่าจะได้รับการยืนยันว่ามีการติดตั้งแพตช์เรียบร้อยแล้ว
- พิจารณาเปิดใช้งาน rules ของ Web Application Firewall (WAF) เพื่อตรวจจับ และบล็อก Deserialization payloads ที่เป็นอันตราย
แม้ว่าปัจจุบัน Microsoft จะยืนยันว่าช่องโหว่ดังกล่าวยังไม่ได้ถูกเปิดเผยต่อสาธารณะหรือถูกนำไปใช้ในการโจมตีจริง แต่ด้วยความซับซ้อนที่ต่ำและช่องทางการโจมตีที่เข้าถึงได้ผ่านเครือข่าย ทำให้ช่องโหว่นี้มีโอกาสสูงที่จะถูกนำไปใช้ในการโจมตีในอนาคตทันทีที่มีการเผยแพร่โค้ด Proof-of-Concept ออกมา
องค์กรที่ใช้งาน SharePoint สำหรับการทำงานร่วมกันภายใน, การจัดการ document หรือ portals ภายนอก จะเผชิญกับความเสี่ยงที่สูงขึ้นหากการติดตั้งแพตช์ล่าช้า ขอแนะนำทีมรักษาความปลอดภัยให้ถือว่ากรณีนี้เป็นวาระการติดตั้งแพตช์ที่สำคัญเร่งด่วนในรอบการ Maintenance Window ครั้งต่อไป
ที่มา : cybersecuritynews
You must be logged in to post a comment.