สรุปสั้น

Microsoft เปิดเผยช่องโหว่ CVE-2026-45659 ใน SharePoint Server ที่อนุญาตให้ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถรันโค้ดจากระยะไกลได้บน SharePoint deployment ทุกเวอร์ชัน ช่องโหว่นี้เกิดจาก deserialization ข้อมูลที่ไม่น่าเชื่อถือภายใน Microsoft Office SharePoint สิ่งที่ทำให้น่ากังวลเป็นพิเศษคือ bar ในการโจมตีต่ำมาก ผู้โจมตีต้องการเพียงสิทธิ์ Site Member ระดับต่ำสุดโดยไม่จำเป็นต้องมีสิทธิ์ admin และสามารถโจมตีผ่านเครือข่ายได้โดยตรง Microsoft ออกแพตช์แล้วเมื่อ 21 พฤษภาคม 2569 และยังไม่พบการ exploit ในสภาพแวดล้อมจริง อย่างไรก็ตาม attack surface ที่กว้างและ attack complexity ต่ำทำให้เป็นเป้าหมายที่น่าสนใจเมื่อ PoC หลุดออกมา

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 26 พฤษภาคม 2569 ว่า Microsoft เปิดเผย CVE-2026-45659 ผ่าน Microsoft Security Response Center อย่างเป็นทางการเมื่อ 21 พฤษภาคม 2569 ช่องโหว่นี้อยู่ในกระบวนการ deserialization ของ Microsoft Office SharePoint ที่จัดการข้อมูลจากผู้ใช้โดยไม่มีการตรวจสอบที่เพียงพอ เมื่อถูก exploit สำเร็จจะทำให้ผู้โจมตีที่อยู่บน network สามารถรันโค้ดโดยอิสระบนเซิร์ฟเวอร์ได้ Microsoft จัดระดับความรุนแรงเป็น Important (ไม่ใช่ Critical) พร้อมประเมินว่า “Exploitation Less Likely” อย่างไรก็ตาม attack vector เป็น network-based (AV:N) และ attack complexity ต่ำ (AC:L) หมายความว่าไม่ต้องมีความรู้พิเศษเกี่ยวกับระบบเป้าหมาย และสามารถโจมตีได้อย่างต่อเนื่องและเชื่อถือได้จากอินเทอร์เน็ต

รายละเอียดช่องโหว่และเวอร์ชันที่ได้รับผลกระทบ

ช่องโหว่กระทบ SharePoint Server ทุกเวอร์ชัน On-premises ที่ยังใช้งานอยู่ ประกอบด้วย SharePoint Server Subscription Edition (แพตช์: KB 5002863, build 16.0.19725.20280), SharePoint Server 2019 (KB 5002870, build 16.0.10417.20128) และ SharePoint Enterprise Server 2016 (KB 5002868, build 16.0.5552.1002) โดยที่ n่าสังเกตคือ Microsoft 365 Online ไม่ได้รับผลกระทบจากช่องโหว่นี้ เนื่องจากเป็น cloud-managed และ Microsoft patch ให้โดยตรง ดังนั้นองค์กรที่ใช้ SharePoint ผ่าน Microsoft 365 Online ไม่ต้องดำเนินการใดๆ แต่องค์กรที่ใช้ SharePoint On-premises ซึ่งเป็นกลุ่มที่มีอยู่จำนวนมากโดยเฉพาะในภาคองค์กรขนาดใหญ่และหน่วยงานรัฐต้องติดตั้ง Security Update โดยด่วน

ผลกระทบต่อไทย

SharePoint Server On-premises เป็นแพลตฟอร์ม collaboration และ document management ที่ใช้กันแพร่หลายในองค์กรขนาดใหญ่ ธนาคาร หน่วยงานรัฐ และรัฐวิสาหกิจในไทย ช่องโหว่ที่ต้องการเพียง Site Member permission หมายความว่า account ของพนักงานทั่วไปที่ถูกขโมยหรือถูก phishing ก็สามารถนำมาใช้ exploit ได้ทันที ทีม IT ขององค์กรที่ยังใช้ SharePoint On-premises ต้องประเมินว่ามี SharePoint instance ใดที่เปิดรับการเข้าถึงจากอินเทอร์เน็ตหรือไม่ เพราะนั่นคือ attack surface ที่มีความเสี่ยงสูงที่สุด

คำแนะนำ

  • ติดตั้ง Security Update ทันที สำหรับเวอร์ชันที่ใช้อยู่ผ่าน Microsoft Update Catalog หรือ WSUS
    • SE: KB 5002863 | 2019: KB 5002870 | 2016: KB 5002868
  • ตรวจสอบและจำกัด Site Member permission ให้เฉพาะผู้ที่จำเป็นจริงๆ
  • ตรวจสอบว่า SharePoint instance ใดบ้างที่ internet-facing และพิจารณาจำกัดการเข้าถึงผ่าน VPN หรือ Zero Trust access
  • เฝ้าระวัง SharePoint Server log สำหรับ deserialization activity ผิดปกติหรือ code execution ที่ไม่คาดคิด
  • ยกระดับด้วย WAF rules เพื่อ detect และ block malicious deserialization payload

แหล่งอ้างอิง