ด่วน! CISA และ NSA ออกคำแนะนำเร่งด่วน เสริมแกร่ง WSUS และ Microsoft Exchange Server รับมือภัยคุกคามไซเบอร์
สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (CISA) และสำนักงานความมั่นคงแห่งชาติ (NSA) ของสหรัฐอเมริกา ร่วมกับพันธมิตรนานาชาติจากออสเตรเลียและแคนาดา ได้ออกแนวทางเพื่อเสริมความแข็งแกร่งให้กับเซิร์ฟเวอร์ Microsoft Exchange Server ที่ติดตั้งแบบ On-Premise (ในองค์กร) เพื่อป้องกันการถูกโจมตี
แนวทางเพิ่มเกราะป้องกัน Exchange Server
CISA ระบุว่า "ด้วยการจำกัดการเข้าถึงของผู้ดูแลระบบ (Administrative Access), การใช้ การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication - MFA), การบังคับใช้การตั้งค่าความปลอดภัยในการรับส่งข้อมูลที่เข้มงวด, และการนำหลักการ Zero Trust (ZT) มาใช้ องค์กรจะสามารถเสริมความแข็งแกร่งในการป้องกันการโจมตีทางไซเบอร์ได้อย่างมาก"
หน่วยงานต่างๆ กล่าวว่า กิจกรรมที่เป็นอันตรายที่มุ่งเป้าไปที่ Microsoft Exchange Server ยังคงดำเนินต่อไป โดยเฉพาะเซิร์ฟเวอร์ที่ไม่ได้ป้องกันและมีการตั้งค่าที่ผิดพลาด องค์กรจึงควรพิจารณา ยกเลิกการใช้งาน (Decommission) เซิร์ฟเวอร์ Exchange แบบ On-Premise หรือ Hybrid ที่หมดอายุการสนับสนุน (End-of-Life) หลังจากย้ายไปสู่ Microsoft 365 แล้ว
แนวทางปฏิบัติที่ดีที่สุด (Best Practices) บางส่วนที่แนะนำ:
- อัปเดตความปลอดภัยและแพตช์อย่างสม่ำเสมอ
- ย้ายข้อมูลออกจากเซิร์ฟเวอร์ Exchange ที่หมดอายุการสนับสนุน
- ตรวจสอบให้แน่ใจว่า Exchange Emergency Mitigation Service ยังคงเปิดใช้งานอยู่
- ใช้และรักษา Exchange Server baseline, Windows security baselines, และ security baselines สำหรับไคลเอนต์อีเมล
- เปิดใช้งานโซลูชัน Antivirus, Windows Antimalware Scan Interface (AMSI), Attack Surface Reduction (ASR), AppLocker and App Control for Business, Endpoint Detection and Response, และคุณสมบัติป้องกันสแปมและมัลแวร์ของ Exchange Server
- จำกัดการเข้าถึงของผู้ดูแลระบบไปยัง Exchange Admin Center (EAC) และ remote PowerShell และใช้หลักการสิทธิ์ขั้นต่ำ (Principle of Least Privilege)
- เสริมความแข็งแกร่งของการยืนยันตัวตนและการเข้ารหัส โดยการกำหนดค่า Transport Layer Security (TLS), HTTP Strict Transport Security (HSTS), Extended Protection (EP), Kerberos และ Server Message Block (SMB) แทน NTLM, และ Multi-Factor Authentication (MFA)
- ปิดการเข้าถึง remote PowerShell สำหรับผู้ใช้ใน Exchange Management Shell (EMS)
หน่วยงานต่างๆ ย้ำว่า "การรักษาความปลอดภัยของเซิร์ฟเวอร์ Exchange เป็นสิ่งสำคัญในการรักษาความสมบูรณ์และความลับของการสื่อสารและการทำงานขององค์กร"
CISA อัปเดตแจ้งเตือน CVE-2025-59287 ใน WSUS
คำแนะนำข้างต้นมีขึ้นหนึ่งวันหลังจากที่ CISA อัปเดต การแจ้งเตือนเพื่อรวมข้อมูลเพิ่มเติมที่เกี่ยวข้องกับ CVE-2025-59287 ซึ่งเป็นช่องโหว่ความปลอดภัยที่ได้รับการแพตช์ใหม่ในส่วนประกอบ Windows Server Update Services (WSUS) ซึ่งอาจนำไปสู่การ รันโค้ดจากระยะไกล (Remote Code Execution)
CISA แนะนำให้องค์กรระบุเซิร์ฟเวอร์ที่มีความเสี่ยงต่อการถูกโจมตี ใช้การอัปเดตความปลอดภัยนอกรอบ (out-of-band security update) ที่ Microsoft ได้เผยแพร่ และตรวจสอบสัญญาณกิจกรรมคุกคามบนเครือข่ายของตน:
- เฝ้าติดตามและตรวจสอบกิจกรรมที่น่าสงสัยและ Child Processes ที่ถูกสร้างขึ้นด้วยสิทธิ์ระดับ SYSTEM โดยเฉพาะอย่างยิ่งที่มาจาก
wsusservice.exeและ/หรือw3wp.exe - เฝ้าติดตามและตรวจสอบ Nested PowerShell Processes ที่ใช้คำสั่ง PowerShell ที่เข้ารหัสแบบ base64
การดำเนินการนี้เป็นไปตามรายงานจาก Sophos ที่ระบุว่า ผู้คุกคามกำลังใช้ประโยชน์จากช่องโหว่นี้ เพื่อเก็บเกี่ยวข้อมูลที่ละเอียดอ่อนจากองค์กรในสหรัฐฯ ซึ่งครอบคลุมหลากหลายอุตสาหกรรม เช่น มหาวิทยาลัย, เทคโนโลยี, การผลิต, และการดูแลสุขภาพ โดยตรวจพบการโจมตีครั้งแรกเมื่อวันที่ 24 ตุลาคม 2025 เพียงหนึ่งวันหลังจาก Microsoft ออกแพตช์
ในการโจมตีเหล่านี้ พบว่าผู้โจมตีได้ใช้เซิร์ฟเวอร์ Windows WSUS ที่มีช่องโหว่ เพื่อรันคำสั่ง PowerShell ที่เข้ารหัสแบบ Base64 และ ส่งข้อมูลออกไปยัง Webhook ซึ่งสอดคล้องกับรายงานจากบริษัทความปลอดภัยอื่นๆ อย่าง Darktrace, Huntress และ Palo Alto Networks Unit 42
Sophos เปิดเผยว่า ได้ระบุเหตุการณ์การโจมตี 6 กรณีในสภาพแวดล้อมของลูกค้าจนถึงปัจจุบัน แม้ว่าการวิจัยเพิ่มเติมจะพบเหยื่ออย่างน้อย 50 รายก็ตาม
Rafe Pilling, ผู้อำนวยการฝ่ายข่าวกรองภัยคุกคามของ Sophos Counter Threat Unit กล่าวว่า "กิจกรรมนี้แสดงให้เห็นว่าผู้คุกคามรีบเคลื่อนไหวอย่างรวดเร็วเพื่อใช้ประโยชน์จากช่องโหว่ที่สำคัญใน WSUS นี้ เพื่อรวบรวมข้อมูลอันมีค่าจากองค์กรที่มีช่องโหว่" และแนะนำว่า "ผู้ป้องกันควรพิจารณาเรื่องนี้เป็นการเตือนล่วงหน้า องค์กรต่างๆ ควรมั่นใจว่าระบบของตนได้รับการ แพตช์อย่างสมบูรณ์ และเซิร์ฟเวอร์ WSUS ได้รับการ กำหนดค่าอย่างปลอดภัย เพื่อลดความเสี่ยงจากการถูกโจมตี"
นอกจากนี้ Michael Haag จาก Splunk ยังตั้งข้อสังเกตในโพสต์บน X ว่า CVE-2025-59287 "ลึกซึ้งกว่าที่คาดไว้" และพบเส้นทางการโจมตีทางเลือกที่เกี่ยวข้องกับการใช้ไบนารี Microsoft Management Console (mmc.exe) เพื่อกระตุ้นการรันของ cmd.exe เมื่อผู้ดูแลระบบเปิด WSUS Admin Console หรือกด "Reset Server Node"
ช่องโหว่สำคัญมาติดๆ กันเลยครับพี่น้อง! ทั้ง Exchange Server และ WSUS ล้วนเป็นหัวใจสำคัญขององค์กรที่ต้องรับการอัปเดตอย่างสม่ำเสมอ และต้องตั้งค่าความปลอดภัยให้เข้มงวดที่สุด โดยเฉพาะการใช้ MFA และหลักการสิทธิ์ขั้นต่ำเพื่อลดความเสี่ยง อย่าปล่อยให้ระบบเราเป็นจุดอ่อนให้ผู้ร้ายไซเบอร์เข้ามาขโมยข้อมูลนะครับ!
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก