Microsoft เตือนภัย! แฮกเกอร์จีน 3 กลุ่มโจมตีช่องโหว่ SharePoint เสี่ยงข้อมูลรั่วไหลทั่วโลก

ข่าวความปลอดภัยไซเบอร์ ร้อนแรง! Microsoft ออกมาเตือนว่า ช่องโหว่ SharePoint ในเซิร์ฟเวอร์แบบ on-premises ถูกโจมตีโดยกลุ่มแฮกเกอร์จากจีน 3 กลุ่ม ได้แก่ Linen Typhoon, Violet Typhoon, และ Storm-2603 ตั้งแต่วันที่ 7 กรกฎาคม 2025 การโจมตีนี้สร้างความเสี่ยงร้ายแรงต่อองค์กรทั่วโลกที่ใช้ Microsoft SharePoint สำหรับจัดการเอกสารและการทำงานร่วมกัน โดยแฮกเกอร์ใช้ช่องโหว่เพื่อขโมยข้อมูลสำคัญและอาจลุกลามไปยังระบบอื่น มาดูรายละเอียดและวิธีป้องกันภัยนี้กัน!

ช่องโหว่ SharePoint: ภัยคุกคามที่ร้ายแรง

การโจมตีนี้ใช้ประโยชน์จากช่องโหว่ 2 รายการใน SharePoint Server:
  • CVE-2025-49706 (Spoofing Vulnerability): อนุญาตให้แฮกเกอร์ปลอมตัวตนเพื่อเข้าถึงระบบ
  • CVE-2025-49704 (Remote Code Execution): อนุญาตให้รันโค้ดอันตรายจากระยะไกล
ช่องโหว่เหล่านี้ถูกพัฒนาต่อเป็น CVE-2025-53770 และ CVE-2025-53771 ซึ่งหลบเลี่ยงการแก้ไขครั้งแรกของ Microsoft แฮกเกอร์ใช้ ToolPane endpoint ผ่านคำขอ POST เพื่อ:
  • Bypass การยืนยันตัวตน: เข้าถึงระบบโดยไม่ต้องล็อกอิน
  • ติดตั้ง Web Shell: เช่น spinstall0.aspx (หรือชื่ออื่น เช่น spinstall1.aspx, spinstall2.aspx) เพื่อขโมย MachineKey ซึ่งเป็นข้อมูลสำคัญของเซิร์ฟเวอร์
นักวิจัย Rakesh Krishnan ระบุว่า การโจมตีนี้ใช้เทคนิคเลียนแบบพฤติกรรมปกติของ Microsoft Edge (เช่น Network Utility Process, Crashpad Handler, GPU Process) และใช้ Google Client Update Protocol (CUP) เพื่อพรางการจราจรข้อมูล ทำให้ตรวจจับได้ยากยิ่งขึ้น

รู้จัก 3 กลุ่มแฮกเกอร์จีน

Microsoft ระบุว่าแฮกเกอร์ 3 กลุ่มจากจีนอยู่เบื้องหลัง:
  • Linen Typhoon (APT27, Bronze Union): ปฏิบัติการตั้งแต่ปี 2012 ใช้มัลแวร์ เช่น SysUpdate, HyperBro, และ PlugX มุ่งขโมยทรัพย์สินทางปัญญาและข้อมูลจากหน่วยงานรัฐและบริษัทเทคโนโลยี
  • Violet Typhoon (APT31, Judgement Panda): เริ่มตั้งแต่ปี 2015 เน้นจารกรรมข้อมูลจากสหรัฐฯ, ฟินแลนด์, และเช็ก
  • Storm-2603: กลุ่มที่คาดว่าเป็นกลุ่มจีน มีประวัติใช้แรนซัมแวร์ เช่น Warlock และ LockBit สร้างความเสียหายร้ายแรง
Microsoft เตือนว่า กลุ่มเหล่านี้มีประสบการณ์สูงและอาจโจมตี SharePoint ที่ยังไม่แพตช์ต่อไป โดยเฉพาะเมื่อช่องโหว่นี้ถูกใช้อย่างแพร่หลาย

ผลกระทบและความรุนแรง

การโจมตีนี้รุนแรงด้วยเหตุผลต่อไปนี้:
  • ขโมยข้อมูลสำคัญ: MachineKey ที่ถูกขโมยสามารถใช้ปลอมตัวตนและเข้าถึงระบบต่อเนื่องได้
  • กระทบวงกว้าง: รายงานจาก Eye Security ระบุว่ามีองค์กรอย่างน้อย 54 แห่งถูกโจมตี รวมถึงหน่วยงานรัฐ, มหาวิทยาลัย, และบริษัทพลังงาน
  • เชื่อมโยงระบบอื่น: SharePoint มักเชื่อมกับ Outlook และ Teams ทำให้การโจมตีอาจลุกลามไปยังข้อมูลในระบบอื่น
ยิ่งไปกว่านั้น การโจมตีนี้ไม่ใช่ครั้งแรกที่แฮกเกอร์จีนพุ่งเป้า Microsoft ในปี 2021 กลุ่ม Silk Typhoon (Hafnium) โจมตี Exchange Server ผ่านช่องโหว่ ProxyLogon และเมื่อต้นเดือนกรกฎาคม 2025 ชาวจีนชื่อ Xu Zewei ถูกจับในอิตาลีจากข้อหาโจมตี Exchange Server แสดงถึงรูปแบบการโจมตีที่มุ่งเป้าโครงสร้างพื้นฐานสำคัญ

วิธีป้องกันภัยจากช่องโหว่ SharePoint

Microsoft และ CISA แนะนำวิธีป้องกันดังนี้:
  • อัปเดตแพตช์ทันที: ติดตั้งแพตช์ล่าสุดสำหรับ SharePoint Server Subscription Edition, SharePoint Server 2019, และ SharePoint Server 2016
  • เปลี่ยน MachineKey: หมุนเวียน ASP.NET MachineKey เพื่อป้องกันการใช้คีย์ที่ถูกขโมย
  • รีสตาร์ท IIS: รีสตาร์ท Internet Information Services (IIS) เพื่อให้การตั้งค่าใหม่มีผล
  • ใช้ Microsoft Defender: ติดตั้ง Microsoft Defender for Endpoint หรือโซลูชันป้องกันมัลแวร์ที่เทียบเท่า
  • เปิดใช้งาน AMSI: ใช้ Antimalware Scan Interface (AMSI) ในโหมด Full เพื่อตรวจจับภัยคุกคาม
CISA เพิ่ม CVE-2025-53770 ในรายการ Known Exploited Vulnerabilities และกำหนดให้หน่วยงานรัฐบาลสหรัฐฯ อัปเดตภายในวันที่ 23 กรกฎาคม 2025

สรุป: ป้องกันวันนี้ ก่อนข้อมูลรั่วไหล

ช่องโหว่ SharePoint เป็นภัยคุกคามร้ายแรงที่กระทบองค์กรทั่วโลก การโจมตีโดย แฮกเกอร์จีน (Linen Typhoon, Violet Typhoon, Storm-2603) ใช้ Web Shell และ ToolPane endpoint เพื่อขโมยข้อมูลสำคัญอย่าง MachineKey ซึ่งอาจนำไปสู่ความเสียหายร้ายแรง องค์กรที่ใช้ Microsoft SharePoint ต้องรีบอัปเดตแพตช์ เปลี่ยนคีย์ และเพิ่มมาตรการป้องกันทันที เพื่อปกป้องข้อมูลและรักษาความน่าเชื่อถือ BLOG TTT-WEBSITE:
  • ปกป้องระบบของคุณ! อัปเดต SharePoint ทันทีและแชร์บทความนี้เพื่อเตือนทีม IT เกี่ยวกับ ช่องโหว่ SharePoint!
  • สมัครรับข่าวสาร เพื่อติดตาม ข่าวความปลอดภัยไซเบอร์ และวิธีป้องกันภัยคุกคามล่าสุด!
  • แสดงความคิดเห็น ด้านล่างว่า คุณมีมาตรการอะไรบ้างเพื่อปกป้องระบบ SharePoint?