สรุปสั้น
เมื่อวันที่ 14 พฤษภาคม 2569 Microsoft ออกคำเตือนเรื่องช่องโหว่ CVE-2026-42897 ที่มีคะแนน CVSS 8.1 ระดับ High กระทบ Microsoft Exchange Server ทุกเวอร์ชันที่ติดตั้งแบบ On-Premises ได้แก่ Exchange 2016, Exchange 2019 และ Exchange Server SE ช่องโหว่ประเภท Cross-Site Scripting (XSS) นี้ถูกใช้โจมตีจริงในธรรมชาติแล้ว (actively exploited in the wild) ผู้โจมตีส่งอีเมลที่สร้างขึ้นเป็นพิเศษไปยังเหยื่อ หากเหยื่อเปิดอีเมลผ่าน Outlook Web Access (OWA) จะถูกรัน JavaScript อันตรายในเบราว์เซอร์ทันที ช่องโหว่นี้ปรากฏเพียง 2 วันหลัง Patch Tuesday เดือนพฤษภาคม ซึ่งแพตช์ 138 ช่องโหว่แต่ไม่ครอบคลุม CVE นี้ ปัจจุบัน ยังไม่มีแพตช์แก้ไข — Microsoft เผยแพร่เฉพาะมาตรการ mitigation ชั่วคราว 2 แนวทาง
รายละเอียดช่องโหว่
ช่องโหว่เกิดจาก Improper Neutralization of Input During Web Page Generation ทำให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถทำ spoofing ผ่านเครือข่ายได้ เงื่อนไขการโจมตีมีดังนี้:
- ผู้โจมตีส่งอีเมลที่มี payload XSS ไปยังกล่องจดหมายของเหยื่อ
- เหยื่อเปิดอีเมลผ่าน Outlook Web Access (OWA) บนเบราว์เซอร์
- เมื่อเงื่อนไขการโต้ตอบบางอย่างตรง JavaScript จะรันในบริบทของเซสชัน OWA ทันที
- ผู้โจมตีสามารถขโมย session token, อ่านอีเมลอื่น หรือดำเนินการในนามของเหยื่อได้
ข้อสำคัญ: Exchange Online ไม่ได้รับผลกระทบ — กระทบเฉพาะ On-Premises เท่านั้น
เวอร์ชันที่ได้รับผลกระทบ
| เวอร์ชัน | สถานะ |
|---|---|
| Exchange Server 2016 (ทุก CU) | ได้รับผลกระทบ |
| Exchange Server 2019 (ทุก CU) | ได้รับผลกระทบ |
| Exchange Server SE | ได้รับผลกระทบ |
| Exchange Online (Microsoft 365) | ไม่ได้รับผลกระทบ |
มาตรการ Mitigation ชั่วคราว
เนื่องจากยังไม่มีแพตช์ Microsoft แนะนำ 2 แนวทาง:
- จำกัดการเข้าถึง OWA — ปิดการใช้งาน Outlook Web Access ชั่วคราว หรือจำกัดให้เข้าถึงจาก VPN / เครือข่ายภายในเท่านั้น
- เพิ่มกฎ Transport Rule — สร้างกฎกรองอีเมลเพื่อตรวจจับและบล็อก payload ที่น่าสงสัยก่อนถึงกล่องจดหมาย
ผลกระทบต่อไทย
Exchange Server On-Premises ยังเป็นโครงสร้างพื้นฐานอีเมลหลักของหน่วยงานราชการ สถาบันการเงิน และองค์กรขนาดใหญ่ในประเทศไทย เนื่องจากข้อกำหนดด้าน data residency ทำให้หลายหน่วยงานยังไม่ย้ายไป Exchange Online
ช่องโหว่นี้ถูกโจมตีจริงแล้วและยังไม่มีแพตช์ ผู้ดูแลระบบควรตรวจสอบ OWA logs เพื่อหาสัญญาณการโจมตี และพิจารณาปิด OWA ชั่วคราวจนกว่า Microsoft จะออกแพตช์