เรื่องเล่าจากช่องโหว่ในองค์กร: เมื่อ SharePoint กลายเป็นประตูหลังให้แฮกเกอร์
ช่องโหว่ที่ถูกระบุคือ:
- CVE-2025-53770
- CVE-2025-53771
ซึ่งมีผลเฉพาะกับ SharePoint Server แบบ on-premises ได้แก่:
- SharePoint 2019
- SharePoint Subscription Edition
โดยไม่กระทบกับ SharePoint Online
Microsoft ยืนยันว่าแฮกเกอร์กำลังใช้ช่องโหว่นี้ในแคมเปญโจมตีจริง และพบไฟล์ต้องสงสัยชื่อ spinstall0.aspx ในระบบที่ถูกเจาะ ซึ่งเป็นสัญญาณว่ามีการฝัง web shell แล้ว
แม้จะมีแพตช์สำหรับ SharePoint 2019 และ Subscription Edition แล้ว แต่ SharePoint 2016 ยังไม่มีแพตช์ออกมา — Microsoft แนะนำให้ผู้ใช้:
- ติดตั้งแพตช์ล่าสุด
- หมุน machine keys ใหม่
- รีสตาร์ท IIS
- เปิดใช้งาน AMSI (Antimalware Scan Interface)
- ใช้ Microsoft Defender for Endpoint หรือเครื่องมือตรวจจับภัยคุกคามอื่น
Microsoft ออกแพตช์อุดช่องโหว่ CVE-2025-53770 และ CVE-2025-53771 ใน SharePoint Server
ช่องโหว่นี้เปิดทางให้รันโค้ดและฝัง web shell ได้จากระยะไกล
ช่องโหว่มีผลเฉพาะกับ SharePoint แบบ on-premises เช่น 2019 และ Subscription Edition
SharePoint Online ไม่ได้รับผลกระทบ
พบไฟล์ spinstall0.aspx เป็นสัญญาณว่าระบบถูกเจาะแล้ว
ควรตรวจสอบ directory ของ SharePoint เพื่อหาหลักฐานการโจมตี
Microsoft แนะนำให้หมุน machine keys และรีสตาร์ท IIS หลังติดตั้งแพตช์
เพื่อให้การอุดช่องโหว่สมบูรณ์และลดความเสี่ยงจากการโจมตีซ้ำ
Defender Antivirus และ Defender for Endpoint สามารถตรวจจับมัลแวร์ที่เกี่ยวข้อง
เช่น HijackSharePointServer.A และ SuspSignoutReq.A
Microsoft แนะนำให้ใช้ระบบตรวจจับภัยแบบ endpoint เพื่อดูพฤติกรรมผิดปกติ
เช่นการรัน PowerShell ที่ถูกเข้ารหัส หรือการทำงานแปลกใน w3wp.exe
https://hackread.com/microsoft-hackers-exploit-sharepoint-flaws-patch-now/
ช่องโหว่ที่ถูกระบุคือ:
- CVE-2025-53770
- CVE-2025-53771
ซึ่งมีผลเฉพาะกับ SharePoint Server แบบ on-premises ได้แก่:
- SharePoint 2019
- SharePoint Subscription Edition
โดยไม่กระทบกับ SharePoint Online
Microsoft ยืนยันว่าแฮกเกอร์กำลังใช้ช่องโหว่นี้ในแคมเปญโจมตีจริง และพบไฟล์ต้องสงสัยชื่อ spinstall0.aspx ในระบบที่ถูกเจาะ ซึ่งเป็นสัญญาณว่ามีการฝัง web shell แล้ว
แม้จะมีแพตช์สำหรับ SharePoint 2019 และ Subscription Edition แล้ว แต่ SharePoint 2016 ยังไม่มีแพตช์ออกมา — Microsoft แนะนำให้ผู้ใช้:
- ติดตั้งแพตช์ล่าสุด
- หมุน machine keys ใหม่
- รีสตาร์ท IIS
- เปิดใช้งาน AMSI (Antimalware Scan Interface)
- ใช้ Microsoft Defender for Endpoint หรือเครื่องมือตรวจจับภัยคุกคามอื่น
Microsoft ออกแพตช์อุดช่องโหว่ CVE-2025-53770 และ CVE-2025-53771 ใน SharePoint Server
ช่องโหว่นี้เปิดทางให้รันโค้ดและฝัง web shell ได้จากระยะไกล
ช่องโหว่มีผลเฉพาะกับ SharePoint แบบ on-premises เช่น 2019 และ Subscription Edition
SharePoint Online ไม่ได้รับผลกระทบ
พบไฟล์ spinstall0.aspx เป็นสัญญาณว่าระบบถูกเจาะแล้ว
ควรตรวจสอบ directory ของ SharePoint เพื่อหาหลักฐานการโจมตี
Microsoft แนะนำให้หมุน machine keys และรีสตาร์ท IIS หลังติดตั้งแพตช์
เพื่อให้การอุดช่องโหว่สมบูรณ์และลดความเสี่ยงจากการโจมตีซ้ำ
Defender Antivirus และ Defender for Endpoint สามารถตรวจจับมัลแวร์ที่เกี่ยวข้อง
เช่น HijackSharePointServer.A และ SuspSignoutReq.A
Microsoft แนะนำให้ใช้ระบบตรวจจับภัยแบบ endpoint เพื่อดูพฤติกรรมผิดปกติ
เช่นการรัน PowerShell ที่ถูกเข้ารหัส หรือการทำงานแปลกใน w3wp.exe
https://hackread.com/microsoft-hackers-exploit-sharepoint-flaws-patch-now/
🎙️ เรื่องเล่าจากช่องโหว่ในองค์กร: เมื่อ SharePoint กลายเป็นประตูหลังให้แฮกเกอร์
ช่องโหว่ที่ถูกระบุคือ:
- CVE-2025-53770
- CVE-2025-53771
ซึ่งมีผลเฉพาะกับ SharePoint Server แบบ on-premises ได้แก่:
- SharePoint 2019
- SharePoint Subscription Edition
โดยไม่กระทบกับ SharePoint Online
Microsoft ยืนยันว่าแฮกเกอร์กำลังใช้ช่องโหว่นี้ในแคมเปญโจมตีจริง และพบไฟล์ต้องสงสัยชื่อ spinstall0.aspx ในระบบที่ถูกเจาะ ซึ่งเป็นสัญญาณว่ามีการฝัง web shell แล้ว
แม้จะมีแพตช์สำหรับ SharePoint 2019 และ Subscription Edition แล้ว แต่ SharePoint 2016 ยังไม่มีแพตช์ออกมา — Microsoft แนะนำให้ผู้ใช้:
- ติดตั้งแพตช์ล่าสุด
- หมุน machine keys ใหม่
- รีสตาร์ท IIS
- เปิดใช้งาน AMSI (Antimalware Scan Interface)
- ใช้ Microsoft Defender for Endpoint หรือเครื่องมือตรวจจับภัยคุกคามอื่น
✅ Microsoft ออกแพตช์อุดช่องโหว่ CVE-2025-53770 และ CVE-2025-53771 ใน SharePoint Server
➡️ ช่องโหว่นี้เปิดทางให้รันโค้ดและฝัง web shell ได้จากระยะไกล
✅ ช่องโหว่มีผลเฉพาะกับ SharePoint แบบ on-premises เช่น 2019 และ Subscription Edition
➡️ SharePoint Online ไม่ได้รับผลกระทบ
✅ พบไฟล์ spinstall0.aspx เป็นสัญญาณว่าระบบถูกเจาะแล้ว
➡️ ควรตรวจสอบ directory ของ SharePoint เพื่อหาหลักฐานการโจมตี
✅ Microsoft แนะนำให้หมุน machine keys และรีสตาร์ท IIS หลังติดตั้งแพตช์
➡️ เพื่อให้การอุดช่องโหว่สมบูรณ์และลดความเสี่ยงจากการโจมตีซ้ำ
✅ Defender Antivirus และ Defender for Endpoint สามารถตรวจจับมัลแวร์ที่เกี่ยวข้อง
➡️ เช่น HijackSharePointServer.A และ SuspSignoutReq.A
✅ Microsoft แนะนำให้ใช้ระบบตรวจจับภัยแบบ endpoint เพื่อดูพฤติกรรมผิดปกติ
➡️ เช่นการรัน PowerShell ที่ถูกเข้ารหัส หรือการทำงานแปลกใน w3wp.exe
https://hackread.com/microsoft-hackers-exploit-sharepoint-flaws-patch-now/
0 Comments
0 Shares
41 Views
0 Reviews
Thai