ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ พบ CISA (Cybersecurity & Infrastructure Security Agency) และ Microsoft ออกประกาศแจ้งเตือนอย่างเป็นทางการ ตรวจพบการโจมตีผ่านผลิตภัณฑ์ Microsoft Intune [1] โดยแฮกเกอร์ได้แทรกซึมเข้าระบบจัดการอุปกรณ์ปลายทาง (Endpoint Management) และนำคำสั่งล้างข้อมูล (Remote Wipe) ไปใช้ในทางที่ผิดเพื่อทำลายระบบในวงกว้าง ส่งผลให้อุปกรณ์จำนวนมากถูกล้างข้อมูลและส่งผลกระทบต่อการปฏิบัติงาน [2]
1. กลุ่มอุปกรณ์ที่เข้าข่ายได้รับผลกระทบ [3]
1.1 อุปกรณ์ทุกแพลตฟอร์มที่บริหารจัดการผ่าน Microsoft Intune (Windows, iOS/iPadOS, macOS และ Android)
1.2 บัญชีผู้ดูแลระบบสิทธิสูง (เช่น Global Administrator และ Intune Administrator)
1.3 อุปกรณ์พนักงานและอุปกรณ์ส่วนตัวที่นำมาใช้ในการทำงาน (BYOD – Bring Your Own Device) ซึ่งมีการลงทะเบียนในระบบจัดการอุปกรณ์เคลื่อนที่ (MDM) ขององค์กรเพื่อเข้าถึงอีเมลหรือแอปพลิเคชันภายใน การโจมตีด้วยคำสั่งคืนค่าโรงงาน (Factory Reset) จะส่งผลให้ข้อมูลส่วนตัวทั้งหมดของพนักงานที่อยู่บนอุปกรณ์เหล่านั้นถูกลบทิ้งไปพร้อมกับข้อมูลขององค์กรด้วย
2. รูปแบบพฤติกรรมการโจมตี
ผู้โจมตีเจาะระบบเพื่อยึดบัญชีผู้ดูแลระบบ (Admin) จากนั้นสร้างบัญชี Global Administrator ใหม่เพื่อควบคุมระบบแบบเบ็ดเสร็จ ก่อนใช้คำสั่ง “Wipe” ซึ่งเป็นฟีเจอร์มาตรฐานใน Microsoft Intune ล้างข้อมูลบนอุปกรณ์พร้อมกัน ส่งผลให้ข้อมูลองค์กร ข้อมูลส่วนบุคคล และการตั้งค่าถูกลบทิ้งถาวร ทำให้เครื่องไม่สามารถใช้งานได้ทันที
3. รายละเอียดการอัปเดต [4]
Microsoft เผยแพร่แนวทางปฏิบัติเพื่อเพิ่มความมั่นคงปลอดภัยให้ Microsoft Intune โดยเน้นที่การระบุตัวตนผู้ใช้งาน (Identity) และตรวจสอบคำสั่งที่มีผลกระทบสูง โดยแนะนำให้ตั้งค่านโยบายบังคับอนุมัติแบบหลายคน (Multi-Admin Approval) สำหรับคำสั่ง Wipe เพื่อป้องกันแฮกเกอร์หรือแอดมินที่ถูกยึดบัญชีสั่งลบข้อมูล
4. แนวทางการปฏิบัติและการบริหารจัดการสำหรับผู้ดูแลระบบ [5]
4.1 จำกัดสิทธิขั้นต่ำ (Least Privilege) ลดจำนวนบัญชี Global Administrator และใช้ Role-Based Access Control (RBAC) มอบสิทธิเท่าที่จำเป็นต่อการปฏิบัติงาน
4.2 บังคับใช้ Phishing-resistant MFA กำหนดให้บัญชีแอดมินยืนยันตัวตนด้วย MFA ที่ป้องกันการฟิชชิ่ง และใช้ Conditional Access คัดกรองความเสี่ยงก่อนเข้าถึงระบบ
4.3 เปิดใช้งาน Multi-Admin Approval (MAA) บังคับให้การดำเนินการที่มีความเสี่ยงสูง (เช่น สั่ง Wipe หรือรันสคริปต์) ต้องได้รับการอนุมัติจากแอดมินคนที่สองเสมอ
4.4 จัดการสิทธิแบบชั่วคราว (PIM) ใช้ Microsoft Entra Privileged Identity Management ควบคุมการยกระดับสิทธิ ให้มีผลจำกัดเวลาและต้องขออนุมัติทุกครั้ง
4.5 เฝ้าระวังและตรวจสอบ (Audit Logs) หมั่นตรวจสอบบันทึกใน Microsoft Defender XDR และ Entra ID เพื่อหาพฤติกรรมผิดปกติ เช่น การเข้าสู่ระบบจากพื้นที่ที่ไม่รู้จัก หรือการสร้างบัญชีสิทธิสูงใหม่
แหล่งข้อมูลอ้างอิง: