ช่องโหว่ Zero-Day CVE-2025-53770
ช่องโหว่ด้านความปลอดภัยร้ายแรงใน Microsoft SharePoint Server กลายเป็นจุดสนใจของการโจมตีทางไซเบอร์ขนาดใหญ่ที่กำลังดำเนินอยู่ ช่องโหว่นี้ถูกติดตามในชื่อ CVE-2025-53770 ซึ่งมีคะแนน CVSS อยู่ที่ 9.8 และจัดอยู่ในประเภท Zero-day และมีความเกี่ยวข้องอย่างใกล้ชิดกับ CVE-2025-49704 (CVSS 8.8) ซึ่งเป็นช่องโหว่การแทรกโค้ดและการเรียกใช้โค้ดจากระยะไกลที่ได้รับการแก้ไขในการอัปเดตแพตช์วันอังคารของ Microsoft ในเดือนกรกฎาคม 2025 ข้อบกพร่องนี้เกิดจากการดีซีเรียลไลเซชันของข้อมูลที่ไม่น่าเชื่อถือ ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้โค้ดอันตรายจากระยะไกลได้โดยไม่ต้องได้รับอนุญาตที่ถูกต้อง
สารบัญ
การโจมตีที่ใช้งานอยู่และระบบที่ได้รับผลกระทบ
นักวิจัยยืนยันว่าอาชญากรไซเบอร์กำลังใช้ประโยชน์จากช่องโหว่นี้อย่างจริงจังกับอินสแตนซ์ SharePoint Server ภายในองค์กร ที่สำคัญ SharePoint Online ใน Microsoft 365 ยังคงไม่ได้รับผลกระทบ ผู้โจมตีกำลังใช้ประโยชน์จากวิธีที่ SharePoint จัดการกับวัตถุที่ไม่น่าเชื่อถือในระหว่างการดีซีเรียลไลเซชัน ทำให้พวกเขาสามารถดำเนินการคำสั่งก่อนการตรวจสอบสิทธิ์ผู้ใช้ได้ เมื่อเข้าไปในระบบแล้ว ผู้โจมตีสามารถสร้างเพย์โหลดปลอมโดยใช้คีย์เครื่องที่ขโมยมา ทำให้เกิดการเคลื่อนที่แบบด้านข้างและการเข้าถึงแบบต่อเนื่อง ซึ่งทำให้การตรวจจับและบรรเทาผลกระทบเป็นเรื่องท้าทาย เนื่องจากกิจกรรมของพวกเขาอาจเลียนแบบการรับส่งข้อมูล SharePoint ที่ถูกต้องตามกฎหมาย
ห่วงโซ่การใช้ประโยชน์ที่ซับซ้อน
มีหลักฐานบ่งชี้ว่า CVE-2025-53770 ถูกใช้ควบคู่ไปกับช่องโหว่อื่นๆ รวมถึง CVE-2025-49706 (ช่องโหว่การปลอมแปลงที่มีคะแนน CVSS 6.3) และ CVE-2025-49704 เพื่อสร้างห่วงโซ่ช่องโหว่ขั้นสูงที่รู้จักกันในชื่อ ToolShell ผู้โจมตีใช้ประโยชน์จาก CVE-2025-49706 เพื่อส่งเพย์โหลดการรันโค้ดจากระยะไกลที่ใช้ประโยชน์จาก CVE-2025-49704 การเพิ่ม '_layouts/SignOut.aspx' เป็นตัวอ้างอิง HTTP จะทำให้ CVE-2025-49706 กลายเป็น CVE-2025-53770 ซึ่งช่วยให้กระบวนการโจมตีมีประสิทธิภาพมากขึ้น
โดยทั่วไปการโจมตีจะเกี่ยวข้องกับเพย์โหลด ASPX ที่ส่งผ่าน PowerShell โดยมีเป้าหมายเพื่อขโมยการกำหนดค่า MachineKey ของเซิร์ฟเวอร์ (ValidationKey และ DecryptionKey) คีย์เหล่านี้มีความสำคัญอย่างยิ่งเนื่องจากช่วยให้ผู้โจมตีสามารถสร้างเพย์โหลด __VIEWSTATE ที่เป็นอันตราย ซึ่ง SharePoint จะยอมรับว่าถูกต้อง ส่งผลให้คำขอที่ผ่านการรับรองความถูกต้องกลายเป็นโอกาสในการรันโค้ดจากระยะไกล
ระดับของการประนีประนอม
จนถึงขณะนี้ มีเซิร์ฟเวอร์ SharePoint มากกว่า 85 แห่งทั่วโลกที่ถูกบุกรุก ส่งผลกระทบต่อองค์กรอย่างน้อย 29 แห่ง รวมถึงบริษัทข้ามชาติและหน่วยงานรัฐบาล เมื่อผู้โจมตีได้รับคีย์การเข้ารหัสแล้ว การแก้ไขปัญหาจะซับซ้อนยิ่งขึ้น แม้หลังจากติดตั้งแพตช์ความปลอดภัยแล้ว คีย์ที่ถูกขโมยไปอาจยังคงทำให้ผู้โจมตียังคงเข้าถึงได้ เว้นแต่จะมีการหมุนเวียนหรือกำหนดค่าคีย์เหล่านั้นใหม่ด้วยตนเอง
มาตรการบรรเทาผลกระทบ
จนกว่าจะมีแพตช์อย่างเป็นทางการ Microsoft แนะนำให้องค์กรต่างๆ เปิดใช้งานการผสานรวม Antimalware Scan Interface (AMSI) ใน SharePoint สำหรับลูกค้าที่ไม่สามารถเปิดใช้งาน AMSI ได้ ขอแนะนำอย่างยิ่งให้ตัดการเชื่อมต่อเซิร์ฟเวอร์ SharePoint ที่มีช่องโหว่จากอินเทอร์เน็ต
ภายหลังจากมีรายงานการโจมตีที่เกิดขึ้นอย่างต่อเนื่อง Microsoft ได้เผยแพร่แพตช์สำหรับทั้ง CVE-2025-53770 และจุดบกพร่องที่เพิ่งค้นพบ CVE-2025-53771 เพื่อปกป้องระบบที่มีช่องโหว่
คำเตือนของ CISA
สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานแห่งสหรัฐอเมริกา (CISA) ได้ออกประกาศแจ้งเตือนยืนยันการใช้ประโยชน์จากช่องโหว่ CVE-2025-53770 ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดจากระยะไกลผ่านเครือข่ายได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ ซึ่งเป็นภัยคุกคามร้ายแรงต่อสภาพแวดล้อม SharePoint ที่ไม่ได้รับการแก้ไข
