TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Microsoft ออกคำเตือนให้ลูกค้าเร่งแก้ไขช่องโหว่ CVE-2025-53786 ความรุนแรงสูงใน Exchange Server hybrid deployments ที่อาจทำให้ผู้โจมตียกระดับสิทธิ์ใน Exchange Online cloud environments โดยไม่ถูกตรวจจับได้
Microsoft ได้แจ้งเตือนลูกค้าเมื่อวันพุธที่ผ่านมาเกี่ยวกับช่องโหว่ความรุนแรงสูงในการติดตั้ง Exchange hybrid ที่เชื่อมต่อ Exchange Server on-premises กับ Exchange Online ในสภาพแวดล้อม Microsoft 365 ช่องโหว่ที่ติดตาม CVE-2025-53786 นี้เกิดจากการที่ระบบ hybrid ใช้ service principal ร่วมกันระหว่าง on-premises และ cloud ทำให้ผู้โจมตีที่ควบคุม Exchange Server on-premises สามารถปลอมแปลงหรือจัดการกับ trusted tokens หรือ API calls ที่ฝั่ง cloud จะยอมรับว่าถูกต้อง เนื่องจากมีความเชื่อถือโดยปริยายต่อ server on-premises
ปัญหาสำคัญคือ action ที่มาจาก Exchange on-premises ไม่สร้าง log ที่เกี่ยวข้องกับพฤติกรรมที่เป็นอันตรายใน Microsoft 365 เสมอไป ทำให้ระบบตรวจสอบแบบ cloud-based อย่าง Microsoft Purview หรือ M365 audit logs อาจไม่สามารถจับความผิดปกติด้านความปลอดภัยได้หากมีต้นทางจาก on-premises ช่องโหว่นี้ส่งผลกระทบต่อ Exchange Server 2016, Exchange Server 2019 และ Microsoft Exchange Server Subscription Edition รุ่นล่าสุด แม้ว่า Microsoft ยังไม่พบการโจมตีจริง แต่ได้ติดแท็กว่า “Exploitation More Likely” เนื่องจากการวิเคราะห์พบว่าสามารถพัฒนา exploit code เพื่อโจมตีช่องโหว่นี้ได้อย่างสม่ำเสมอ
CISA ได้ออกคำแนะนำแยกต่างหากสำหรับผู้ดูแลระบบที่ต้องการป้องกัน Exchange hybrid deployments โดยให้ติดตั้ง April 2025 Exchange Server Hotfix Updates บน Exchange Server on-premise และปฏิบัติตามคำแนะนำการตั้งค่าของ Microsoft สำหรับ Deploy dedicated Exchange hybrid app องค์กรที่ใช้ Exchange hybrid หรือเคยตั้งค่าไว้แต่ไม่ใช้แล้ว ควรตรวจสอบ Service Principal Clean-Up Mode เพื่อรีเซ็ต keyCredentials ของ service principal และหลังจากเสร็จสิ้นให้รัน Microsoft Exchange Health Checker เพื่อดูว่าต้องดำเนินการเพิ่มเติมหรือไม่ CISA เตือนว่าการไม่แก้ไขช่องโหว่นี้อาจนำไปสู่การเข้ายึดโดเมนได้ และแนะนำให้ผู้ดูแลระบบตัดการเชื่อมต่อ server ที่เปิดเผยต่อสาธารณะที่รันเวอร์ชัน end-of-life หรือ end-of-service ของ Exchange Server หรือ SharePoint Server จากอินเทอร์เน็ต
