ด่วน! แจ้งเตือนช่องโหว่หลายรายการใน Microsoft SharePoint Server เร่งอัปเดตระบบทันที

ยอดเข้าชม: 91 views

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ และพบประกาศแจ้งเตือนช่องโหว่ด้านความมั่นคงปลอดภัยหลายรายการใน Microsoft SharePoint Server แบบติดตั้งภายในองค์กร (On-premises) ซึ่งอาจเปิดโอกาสให้ผู้ไม่หวังดีปลอมแปลงตัวตน ข้ามกลไกการยืนยันตัวตน ยกระดับสิทธิ์ และสั่งรันโค้ดบนเซิร์ฟเวอร์ได้ [1]

ช่องโหว่สำคัญประกอบด้วย CVE-2026-32201, CVE-2026-45659, CVE-2026-56164, CVE-2026-55040 และ CVE-2026-58644 โดยบางรายการสามารถถูกโจมตีได้โดยไม่จำเป็นต้องมีบัญชีผู้ใช้งานหรืออาศัยการดำเนินการจากผู้ใช้ หากโจมตีสำเร็จอาจส่งผลให้ผู้โจมตีเข้าถึงหรือแก้ไขข้อมูล ติดตั้งมัลแวร์ ควบคุมเซิร์ฟเวอร์ และใช้ระบบ SharePoint เป็นจุดเริ่มต้นในการเข้าถึงระบบอื่นภายในองค์กรได้

1. รายละเอียดช่องโหว่
1.1 CVE-2026-32201 – Improper Input Validation / Spoofing CVSS v3.1: 6.5 ช่องโหว่เกิดจากการตรวจสอบข้อมูลนำเข้าที่ไม่เหมาะสมใน Microsoft SharePoint Server ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตนสามารถส่งข้อมูลที่ถูกสร้างขึ้นเป็นพิเศษ เพื่อดำเนินการปลอมแปลงตัวตนหรือข้อมูลผ่านระบบเครือข่ายได้ [2]
1.2 CVE-2026-45659 – Deserialization of Untrusted Data / Remote Code Execution CVSS v3.1: 8.8 ช่องโหว่เกิดจากการประมวลผลข้อมูลแบบ Deserialization ที่ไม่น่าเชื่อถือ ผู้โจมตีที่ผ่านการยืนยันตัวตนและมีสิทธิ์ขั้นต่ำระดับ Site Member อาจสามารถส่งข้อมูลอันตรายเพื่อสั่งรันโค้ดบน SharePoint Server ได้ หากโจมตีสำเร็จ ผู้โจมตีอาจเข้าถึงหรือแก้ไขข้อมูล ติดตั้งโปรแกรมอันตราย และควบคุมกระบวนการทำงานของ SharePoint ได้ [3]
1.3 CVE-2026-56164 – Missing Authentication for Critical Function / Elevation of Privilege CVSS v3.1: 5.3 ช่องโหว่เกิดจากระบบขาดการยืนยันตัวตนสำหรับฟังก์ชันที่สำคัญ ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตนอาจสามารถยกระดับสิทธิ์และเข้าถึงฟังก์ชันที่ควรถูกจำกัดไว้สำหรับผู้ใช้งานที่ได้รับอนุญาตเท่านั้น [4]
1.4 CVE-2026-55040 – Weak Authentication / Security Feature Bypass CVSS v3.1: 9.1 ช่องโหว่เกิดจากกลไกการยืนยันตัวตนที่ไม่รัดกุมใน Microsoft SharePoint Server ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตนอาจสามารถข้ามกลไกการรักษาความปลอดภัยและปลอมเป็นผู้ใช้งานที่มีสิทธิ์ในระบบได้ [5]
1.5 CVE-2026-58644 – Deserialization of Untrusted Data / Remote Code Execution CVSS v3.1: 9.8 ช่องโหว่เกิดจากการประมวลผลข้อมูลแบบ Deserialization ที่ไม่น่าเชื่อถือ ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตนอาจสามารถส่งข้อมูลที่ถูกสร้างขึ้นเป็นพิเศษ เพื่อสั่งรันโค้ดบน Microsoft SharePoint Server ได้ [6]

2. ผลิตภัณฑ์ที่ได้รับผลกระทบ
– Microsoft SharePoint Server Subscription Edition
– Microsoft SharePoint Server 2019
– Microsoft SharePoint Enterprise Server 2016

3. แนวทางการแก้ไข
3.1 Microsoft SharePoint Server Subscription Edition
– ติดตั้ง KB5002882
– อัปเดตเป็น Build 16.0.19725.20434 หรือใหม่กว่า
3.2 Microsoft SharePoint Server 2019
– ติดตั้ง KB5002883
– ติดตั้ง Language-dependent Update KB5002885
– อัปเดตเป็น Build 16.0.10417.20175 หรือใหม่กว่า
3.3 Microsoft SharePoint Server 2016
– ติดตั้ง KB5002891
– ติดตั้ง Language-dependent Update KB5002892
– อัปเดตเป็น Build 16.0.5561.1001 หรือใหม่กว่า

4. แนวทางการป้องกันกรณียังไม่สามารถอัปเดตได้ [7]
– หยุดการเปิด SharePoint Server ให้เข้าถึงจากอินเทอร์เน็ตโดยตรง หากไม่มีความจำเป็น
– จำกัดการเข้าถึงผ่าน VPN หรือเครือข่ายที่ได้รับอนุญาต
– กำหนด Allowlist สำหรับหมายเลข IP ของผู้ดูแลระบบและผู้ใช้งานที่จำเป็น
– ปิดกั้นการเข้าถึง SharePoint Central Administration จากเครือข่ายภายนอก
– วางระบบไว้หลัง Reverse Proxy, Web Application Firewall หรือระบบควบคุมความปลอดภัยระดับแอปพลิเคชัน
– จำกัดการสื่อสารระหว่าง SharePoint Server, Database Server และระบบภายในให้เฉพาะพอร์ตที่จำเป็น
– เปิดใช้งาน Antimalware Scan Interface: AMSI Integration สำหรับ SharePoint Web Application
– เปิดใช้งาน Microsoft Defender Antivirus หรือ Endpoint Detection and Response: EDR
– เปิดการบันทึก IIS Log, SharePoint ULS Log, Windows Event Log และ Authentication Log
– ตรวจสอบคำขอ HTTP ที่ผิดปกติ การเรียกใช้ Endpoint ที่ไม่คุ้นเคย และการสร้างไฟล์ใหม่ใน Web Root
– เฝ้าระวังการทำงานของ Process ที่ถูกเรียกจาก IIS หรือ SharePoint เช่น w3wp.exe ที่เรียกใช้ PowerShell, Command Prompt หรือโปรแกรมที่ผิดปกติ
– ตรวจสอบการสร้างบัญชีใหม่ การเพิ่มสิทธิ์ และการเปลี่ยนแปลง Configuration โดยไม่ได้รับอนุญาต
– ตรวจสอบ Web Shell, Scheduled Task, Service และ Startup Entry ที่ไม่ทราบแหล่งที่มา
– เปลี่ยนรหัสผ่านของบัญชีผู้ดูแลระบบ บัญชี SharePoint Farm และ Service Account หากพบพฤติกรรมน่าสงสัย
– พิจารณาหยุดให้บริการระบบชั่วคราว หากไม่สามารถติดตั้งแพตช์หรือใช้มาตรการควบคุมความเสี่ยงที่เหมาะสมได้

แหล่งอ้างอิง
[1] https://dg.th/wgudojslxq
[2] https://dg.th/xwje34nthd
[3] https://dg.th/1pduksen0b
[4] https://dg.th/mejhpqtrbd
[5] https://dg.th/4klmzrpwe9
[6] https://dg.th/nsbu7wf4qc
[7] https://dg.th/93tfwhoqzk