🎙️ เรื่องเล่าจากช่องโหว่ในองค์กร: เมื่อ SharePoint กลายเป็นประตูหลังให้แฮกเกอร์ ช่องโหว่ที่ถูกระบุคือ: - CVE-2025-53770 - CVE-2025-53771 ซึ่งมีผลเฉพาะกับ SharePoint Server แบบ on-premises ได้แก่: - SharePoint 2019 - SharePoint Subscription Edition โดยไม่กระทบกับ SharePoint Online Microsoft ยืนยันว่าแฮกเกอร์กำลังใช้ช่องโหว่นี้ในแคมเปญโจมตีจริง และพบไฟล์ต้องสงสัยชื่อ spinstall0.aspx ในระบบที่ถูกเจาะ ซึ่งเป็นสัญญาณว่ามีการฝัง web shell แล้ว แม้จะมีแพตช์สำหรับ SharePoint 2019 และ Subscription Edition แล้ว แต่ SharePoint 2016 ยังไม่มีแพตช์ออกมา — Microsoft แนะนำให้ผู้ใช้: - ติดตั้งแพตช์ล่าสุด - หมุน machine keys ใหม่ - รีสตาร์ท IIS - เปิดใช้งาน AMSI (Antimalware Scan Interface) - ใช้ Microsoft Defender for Endpoint หรือเครื่องมือตรวจจับภัยคุกคามอื่น ✅ Microsoft ออกแพตช์อุดช่องโหว่ CVE-2025-53770 และ CVE-2025-53771 ใน SharePoint Server ➡️ ช่องโหว่นี้เปิดทางให้รันโค้ดและฝัง web shell ได้จากระยะไกล ✅ ช่องโหว่มีผลเฉพาะกับ SharePoint แบบ on-premises เช่น 2019 และ Subscription Edition ➡️ SharePoint Online ไม่ได้รับผลกระทบ ✅ พบไฟล์ spinstall0.aspx เป็นสัญญาณว่าระบบถูกเจาะแล้ว ➡️ ควรตรวจสอบ directory ของ SharePoint เพื่อหาหลักฐานการโจมตี ✅ Microsoft แนะนำให้หมุน machine keys และรีสตาร์ท IIS หลังติดตั้งแพตช์ ➡️ เพื่อให้การอุดช่องโหว่สมบูรณ์และลดความเสี่ยงจากการโจมตีซ้ำ ✅ Defender Antivirus และ Defender for Endpoint สามารถตรวจจับมัลแวร์ที่เกี่ยวข้อง ➡️ เช่น HijackSharePointServer.A และ SuspSignoutReq.A ✅ Microsoft แนะนำให้ใช้ระบบตรวจจับภัยแบบ endpoint เพื่อดูพฤติกรรมผิดปกติ ➡️ เช่นการรัน PowerShell ที่ถูกเข้ารหัส หรือการทำงานแปลกใน w3wp.exe https://hackread.com/microsoft-hackers-exploit-sharepoint-flaws-patch-now/