สรุปสั้น
หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานสหรัฐฯ (Cybersecurity and Infrastructure Security Agency หรือ CISA) ออกคำเตือนเมื่อวันอังคารว่าผู้โจมตีกำลังใช้ช่องโหว่ 3 รายการเพื่อเจาะ SharePoint Server แบบติดตั้งภายในองค์กร (On-premises) ที่เปิดเผยสู่อินเทอร์เน็ต ช่องโหว่ทั้งสามถูกติดตามในรหัส CVE-2026-32201, CVE-2026-45659 และ CVE-2026-56164 ซึ่งกระทบ SharePoint Server เวอร์ชันที่ยังได้รับการสนับสนุนทุกเวอร์ชัน รวมถึง SharePoint Server Subscription Edition ที่เป็นเวอร์ชันล่าสุดแบบติดตั้งภายในองค์กร ตามคำแนะนำที่ออกในวันเดียวกัน ผู้โจมตีกำลังใช้ช่องโหว่เหล่านี้เพื่อข้ามการยืนยันตัวตน รันโค้ดทางไกล (Remote Code Execution) และดำเนินกิจกรรมหลังการเจาะระบบ ทั้งการขโมยคีย์เครื่องของ Internet Information Services (IIS) และฝังตัวเพื่อปล่อยมัลแวร์บนระบบที่ถูกเจาะ
นอกจากนี้ CISA ยังชี้ถึงช่องโหว่ SharePoint Server อีก 2 รายการคือ CVE-2026-55040 และ CVE-2026-58644 ที่ Microsoft เพิ่งแพตช์ไปในวันอังคารและระบุว่าเป็นเป้าหมายที่น่าดึงดูดสำหรับผู้โจมตี แม้ยังไม่ทราบว่าถูกใช้โจมตีจริง ด้านกลุ่มเฝ้าระวังความปลอดภัยอินเทอร์เน็ต Shadowserver ระบุว่าปัจจุบันมีเซิร์ฟเวอร์ SharePoint ที่เปิดสู่อินเทอร์เน็ตเกือบ 10,000 เครื่อง โดยกว่า 800 เครื่องยังไม่ได้แพตช์ช่องโหว่ CVE-2026-32201 และ CVE-2026-45659 ทั้งนี้หน่วยงานรัฐกลางสหรัฐฯ มีเวลาจนถึงวันที่ 17 กรกฎาคมในการปิดช่องโหว่ CVE-2026-56164 ตามคำสั่งปฏิบัติการผูกพัน (Binding Operational Directive) 26-04 หรือมิฉะนั้นต้องยุติการใช้งานหากไม่สามารถใช้มาตรการลดผลกระทบได้
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 15 กรกฎาคม 2569 ว่า CISA ได้เพิ่มช่องโหว่ที่ถูกโจมตีจริงทั้งสามรายการเข้าสู่บัญชี Known Exploited Vulnerabilities (KEV) ในเวลาต่างกัน คือ CVE-2026-32201 เมื่อวันที่ 14 เมษายน, CVE-2026-45659 เมื่อวันที่ 1 กรกฎาคม และ CVE-2026-56164 เมื่อวันที่ 14 กรกฎาคม ซึ่งสะท้อนว่า SharePoint ตกเป็นเป้าโจมตีต่อเนื่องมาหลายเดือน โดยนับตั้งแต่เดือนพฤศจิกายน 2564 เป็นต้นมา CISA ได้ระบุช่องโหว่ SharePoint ของ Microsoft ที่ถูกใช้โจมตีแล้วรวม 11 รายการ และในจำนวนนี้ 7 รายการยังถูกใช้ในการโจมตีด้วยแรนซัมแวร์อีกด้วย
CISA เรียกร้องให้ทีมความปลอดภัยเฝ้าติดตามเซิร์ฟเวอร์ที่ได้รับผลกระทบอย่างใกล้ชิดเพื่อหาสัญญาณการถูกโจมตี และแนะนำให้ติดตั้งแพตช์ล่าสุดของ Microsoft พร้อมตรวจสอบว่าติดตั้งสำเร็จ ลดรอบเวลาการแพตช์ให้สั้นลง เปิดใช้การผสาน Windows Antimalware Scan Interface (AMSI) สำหรับเว็บแอปพลิเคชัน SharePoint และใช้การตรวจจับของ Microsoft Defender Antivirus (MDAV) เพื่อตรวจจับและกำจัดการบุกรุก มาตรการเสริมความแข็งแกร่งเพิ่มเติมยังรวมถึงการค้นหาและกำจัดร่องรอยการบุกรุกก่อนหมุนเปลี่ยนคีย์เครื่อง IIS การตั้งค่าการเก็บล็อกเฉพาะเพื่อเฝ้าระวังกิจกรรมผิดปกติ และการหลีกเลี่ยงการเปิดเซิร์ฟเวอร์ SharePoint สู่อินเทอร์เน็ตโดยตรงหากไม่จำเป็น

CISA ยังแนะนำให้บล็อกการเข้าถึงหน้า SharePoint Central Administration จากภายนอก และจำกัดการสื่อสารของฟาร์มและฐานข้อมูลไว้เฉพาะกับระบบที่จำเป็นเท่านั้น ในกรณีที่จำเป็นต้องเปิดให้เข้าถึงจากภายนอก CISA แนะนำให้วางเซิร์ฟเวอร์ไว้หลัง Reverse Proxy ระดับ Layer 7 หรือมาตรการควบคุมความปลอดภัยระดับแอปพลิเคชันในลักษณะเดียวกัน คำเตือนนี้ออกมาต่อเนื่องจากการที่ Microsoft ปล่อยแพตช์ Patch Tuesday ครั้งใหญ่ที่สุดเป็นประวัติการณ์ 622 ช่องโหว่ ซึ่งรวมช่องโหว่ CVE-2026-56164 ที่กำลังถูกโจมตีอยู่ด้วย
รายละเอียดช่องโหว่
ช่องโหว่ CVE-2026-56164 มีจุดอันตรายอยู่ที่เป็นช่องโหว่ยกระดับสิทธิ์ที่ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถส่งคำขอผ่านเครือข่ายเพื่อเข้าถึงฟังก์ชันที่ควรต้องได้รับอนุญาตก่อน โดยไม่ต้องมีข้อมูลรับรองหรือการโต้ตอบจากผู้ใช้ ทำให้เซิร์ฟเวอร์ SharePoint ที่เปิดสู่อินเทอร์เน็ตมีความเสี่ยงเป็นพิเศษ เพราะการโจมตีทำได้จากระยะไกลโดยไม่ต้องมีบัญชีที่ถูกต้อง เมื่อรวมกับ CVE-2026-32201 และ CVE-2026-45659 ที่เปิดทางสู่การรันโค้ดทางไกล ผู้โจมตีจึงสามารถเข้าควบคุมเซิร์ฟเวอร์ แล้วขโมยคีย์เครื่อง IIS ซึ่งเป็นกุญแจสำคัญที่ใช้ในการเข้ารหัสและตรวจสอบข้อมูล เพื่อสร้างความคงอยู่ในระบบและปล่อยมัลแวร์ต่อไป
การขโมยคีย์เครื่อง IIS เป็นเทคนิคที่อันตรายเพราะเปิดทางให้ผู้โจมตีสร้าง payload แบบ deserialization ที่ปลอมแปลงได้อย่างถูกต้อง ทำให้แม้จะแพตช์ช่องโหว่แล้วแต่หากคีย์รั่วไหลไปก่อน ผู้โจมตีก็ยังอาจกลับเข้าระบบได้ ด้วยเหตุนี้ CISA จึงเน้นย้ำว่าการแพตช์เพียงอย่างเดียวไม่พอ แต่ต้องค้นหาร่องรอยการบุกรุกและหมุนเปลี่ยนคีย์เครื่อง IIS ควบคู่กันไปด้วย
ผลกระทบต่อไทย
SharePoint Server เป็นระบบจัดการเอกสารและการทำงานร่วมกันที่องค์กรขนาดใหญ่ในไทยใช้อย่างแพร่หลาย ทั้งหน่วยงานราชการ สถาบันการเงิน และองค์กรเอกชนขนาดใหญ่ การที่ช่องโหว่ทั้งสามถูกใช้โจมตีจริงและเปิดทางให้รันโค้ดทางไกลโดยไม่ต้องยืนยันตัวตน หมายความว่าองค์กรไทยที่รัน SharePoint แบบติดตั้งภายในองค์กรและเปิดให้เข้าถึงจากอินเทอร์เน็ตมีความเสี่ยงสูงมากที่จะถูกเจาะ โดยเฉพาะเมื่อมีการใช้ช่องโหว่เหล่านี้ในการโจมตีด้วยแรนซัมแวร์มาแล้ว แม้คำสั่ง BOD 26-04 จะบังคับเฉพาะหน่วยงานรัฐกลางสหรัฐฯ แต่องค์กรไทยควรถือเป็นมาตรฐานเดียวกันในการเร่งแพตช์และตรวจหาร่องรอยการบุกรุก เพราะเซิร์ฟเวอร์ที่เปิดสู่อินเทอร์เน็ตทั่วโลกกำลังถูกสแกนและโจมตีอย่างต่อเนื่อง
คำแนะนำ
ผู้ดูแลระบบควรติดตั้งแพตช์ล่าสุดของ Microsoft สำหรับ CVE-2026-32201, CVE-2026-45659 และ CVE-2026-56164 ทันที พร้อมตรวจสอบว่าติดตั้งสำเร็จจริง จากนั้นควรค้นหาร่องรอยการบุกรุกก่อนแล้วจึงหมุนเปลี่ยนคีย์เครื่อง IIS เพราะหากคีย์ถูกขโมยไปก่อน การแพตช์เพียงอย่างเดียวจะไม่สามารถปิดช่องทางกลับเข้าระบบได้ ควรเปิดใช้การผสาน AMSI สำหรับเว็บแอปพลิเคชัน SharePoint และใช้ Microsoft Defender Antivirus ตรวจจับการบุกรุก ตั้งค่าการเก็บล็อกเพื่อเฝ้าระวังกิจกรรมผิดปกติ หลีกเลี่ยงการเปิดเซิร์ฟเวอร์สู่อินเทอร์เน็ตโดยตรงหากไม่จำเป็น บล็อกการเข้าถึง SharePoint Central Administration จากภายนอก และวางเซิร์ฟเวอร์ไว้หลัง Reverse Proxy ระดับ Layer 7 ในกรณีที่ต้องเปิดให้เข้าถึงจากภายนอก
