TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ช่องโหว่ร้ายแรงใน Microsoft Exchange Server ยังคงไม่ได้รับการอัปเดตแพตช์บนเกือบ 30,000 ระบบทั่วโลก ทำให้เกิดความกังวลเกี่ยวกับความเป็นไปได้ที่จะถูกโจมตีในสภาพแวดล้อมคลาวด์แบบไฮบริด
ช่องโหว่นี้ถูกติดตามในรหัส CVE-2025-53786 ซึ่งส่งผลกระทบต่อ Exchange 2016, Exchange 2019 และ Exchange Server Subscription Edition ในการตั้งค่าแบบไฮบริดร่วมกับ Exchange Online ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีที่มีสิทธิ์ผู้ดูแลระบบบนเซิร์ฟเวอร์ภายในองค์กร สามารถยกระดับสิทธิ์ในสภาพแวดล้อมคลาวด์ที่เชื่อมต่อได้ ซึ่งอาจนำไปสู่การเจาะระบบได้ทั้งโดเมน
ตามข้อมูลจากมูลนิธิ Shadowserver จำนวนเซิร์ฟเวอร์ Exchange ที่ถูกเปิดเผยต่อช่องโหว่นี้ ณ วันที่ 10 ส.ค. มีทั้งหมด 29,098 เครื่อง โดยพบมากที่สุดในสหรัฐฯ (มากกว่า 7,200 เครื่อง) ตามมาด้วยเยอรมนี (6,700 เครื่อง) และรัสเซีย (2,500 เครื่อง) รวมถึงอีกหลายพันเครื่องในฝรั่งเศส สหราชอาณาจักร ออสเตรีย และแคนาดา
เพื่อเน้นย้ำถึงความร้ายแรงของปัญหา หน่วยงาน U.S. Cybersecurity and Infrastructure Security Agency (CISA) ได้ออก Emergency Directive 25-02 เมื่อวันที่ 7 ส.ค. สำหรับหน่วยงานรัฐบาลกลาง ให้ดำเนินการแก้ไขทันที โดยสั่งให้จัดทำบัญชีรายการระบบ Exchange ผ่านสคริปต์ Health Checker ของ Microsoft ตัดการเชื่อมต่อเซิร์ฟเวอร์ที่ไม่รองรับซึ่งถูกเปิดให้เข้าถึงจากอินเทอร์เน็ต ติดตั้ง hotfix และอัปเดตสะสมล่าสุด รวมถึงปฏิบัติตามแนวทางของ Microsoft ในการใช้ แทนการใช้ shared service principals ที่ไม่ปลอดภัย
ทั้งนี้ hotfix ที่อ้างถึงในคำแนะนำของ CISA หมายถึงการอัปเดตที่ Microsoft ปล่อยออกมาในเดือนเมษายน ซึ่งในขณะนั้นถูกนำเสนอว่าเป็นการเปลี่ยนแปลงสถาปัตยกรรมเพื่อปรับปรุงความมั่นคงปลอดภัยด้านการระบุตัวตนในระบบไฮบริด โดยกระตุ้นให้ใช้แอปไฮบริดเฉพาะทาง ทั้งนี้ Microsoft เพิ่งบันทึกเอกสารอธิบายช่องโหว่อย่างเป็นทางการเมื่อวันที่ 6 ส.ค.
เนื่องจากความรุนแรงและความเสี่ยงที่อาจเกิดขึ้น ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์จึงเร่งเตือนให้ผู้ดูแลระบบ Exchange ดำเนินการทันที “นี่เป็นช่องโหว่ร้ายแรงใน Exchange และทีมความมั่นคงปลอดภัยควรให้ความสำคัญโดยทันที” Thomas Richards ผู้อำนวยการฝ่ายโครงสร้างพื้นฐานความมั่นคงปลอดภัย จากบริษัทผู้พัฒนาซอฟต์แวร์ด้านความมั่นคงปลอดภัยแอปพลิเคชัน Black Duck Software กล่าว
“การอัปเดตแพตช์เซิร์ฟเวอร์เพียงอย่างเดียวไม่เพียงพอ และเนื่องจากการตรวจหาการเจาะระบบทำได้ยาก Microsoft จึงได้ให้แนวทางปฏิบัติสำหรับทีมงานเพื่อให้มั่นใจว่าโทเคนความเชื่อถือ (trust token) ที่อาจถูกเจาะระบบนั้นได้รับการเปลี่ยนใหม่ ซึ่งเป็นขั้นตอนสำคัญที่ต้องปฏิบัติเพื่อการแก้ไขอย่างสมบูรณ์และรักษาความเชื่อมั่นในซอฟต์แวร์ หากระบบยังไม่ได้อัปเดตแพตช์ CISA ได้เตือนว่ามีความเป็นไปได้ที่จะถูกเจาะ Exchange และ Active Directory ได้อย่างสมบูรณ์ และหากถูกเจาะ อาจส่งผลกระทบอย่างร้ายแรงต่อการดำเนินธุรกิจ”
ที่มา: https://siliconangle.com/2025/08/11/nearly-30000-microsoft-exchange-servers-remain-unpatched-critical-hybrid-flaw/
