เตือนภัยไอที! พบแฮกเกอร์โจมตีช่องโหว่ Microsoft Exchange Server ผ่านอีเมลอันตราย CISA สั่งด่วนให้รีบรับมือ

 

ผมมีเรื่องด่วนที่คนดูแลระบบ (Sysadmin) และองค์กรที่ยังใช้งานระบบอีเมลแบบติดตั้งในองค์กร (On-Premises) ต้องฟังทางนี้ครับ ยักษ์ใหญ่ Microsoft ได้ออกมารายงานด่วนว่า พบการโจมตีจริงในวงกว้างแล้ว โดยพุ่งเป้าไปที่ช่องโหว่ใหม่แกะกล่องบน Microsoft Exchange Server

เจาะลึกช่องโหว่ร้ายแรง CVE-2026-42897

ช่องโหว่ดังกล่าวถูกรหัสติดตามคือ CVE-2026-42897 ได้รับคะแนนความรุนแรง (CVSS Score) สูงถึง 8.1 โดยถูกจัดระเภทเป็นช่องโหว่การปลอมแปลง (Spoofing) ที่เกิดจากปัญหาการตรวจสอบข้อมูลนำเข้าไม่ดีพอ หรือที่เรารู้จักกันในชื่อ Cross-Site Scripting (XSS) โดยมีนักวิจัยนิรนามเป็นผู้ค้นพบและรายงานปัญหานี้

แฮกเกอร์โจมตีอย่างไร?

วิธีที่ผู้ไม่หวังดีใช้ถือว่าน่ากลัวมากครับ แฮกเกอร์จะส่ง "อีเมลที่ถูกสร้างขึ้นมาเป็นพิเศษ" ไปยังเหยื่อ เมื่อเหยื่อเปิดอีเมลนี้ผ่านหน้าเว็บ Outlook Web Access (OWA) ร่วมกับเงื่อนไขการโต้ตอบบางอย่างโค้ดอันตราย (JavaScript) จะถูกรันบนเว็บเบราว์เซอร์ของเหยื่อทันที ทำให้อาจถูกสวมรอยหรือโดนขโมยข้อมูลสำคัญไปได้

ข่าวดีสำหรับผู้ใช้ระบบคลาวด์: Microsoft ยืนยันว่า Exchange Online (Microsoft 365) ไม่ได้รับผลกระทบจากช่องโหว่นี้ครับ รายชื่อเวอร์ชันที่โดนผลกระทบเต็มๆ มีเฉพาะแบบ On-Premises ดังนี้

• Exchange Server 2016 (ทุกอัปเดต) 
• Exchange Server 2019 (ทุกอัปเดต)
• Exchange Server Subscription Edition (SE) (ทุกอัปเดต)

แนวทางการรับมือและบรรเทาความเสียหาย (Mitigation)

เนื่องจากตอนนี้ Microsoft กำลังเร่งทำตัวอัปเดตถาวร (Permanent Fix) อยู่ จึงได้ส่งแนวทางบรรเทาความเสียหายชั่วคราวมาให้ก่อน โดยแบ่งเป็น 2 กรณีครับ

วิธีที่ 1 ใช้ระบบอัตโนมัติ (แนะนำ)

สำหรับองค์กรทั่วไป ระบบ Exchange Emergency Mitigation Service ที่เปิดใช้งานเป็นค่าเริ่มต้น (Default) จะทำการดึงข้อมูลและแก้ไข URL อัตโนมัติให้ทันที หากระบบนี้ปิดอยู่ แนะนำให้รับไปเปิด Windows Service ตัวนนี้ด่วนๆ ครับ

วิธีที่ 2 สำหรับระบบปิด (Air-Gap) ที่ต่อเน็ตไม่ได้

หากองค์กรของคุณล็อกระบบไม่ให้เข้าถึงอินเทอร์เน็ตภายนอก สามารถจัดการเองได้ตามขั้นตอนสั้นๆ นี้ครับ

1. ดาวน์โหลดเครื่องมือแก้ไขล่าสุด Exchange on-premises Mitigation Tool (EOMT) จากลิงค์ aka[.]ms/UnifiedEOMT
2. นำไปรันผ่าน Exchange Management Shell (EMS) ด้วยสิทธิ์ผู้ดูแลระบบ (Elevated)

• กรณีทำทีละเซิร์ฟเวอร์: รันคำสั่ง .\EOMT.ps1 -CVE "CVE-2026-42897"
• กรณีทำทุกเซิร์ฟเวอร์พร้อมกัน: รันคำสั่ง Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"
• ข้อควรระวัง (Known Issue): Microsoft แจ้งว่าอาจเจอหน้าจอแสดงข้อความเตือนว่า "Mitigation invalid for this exchange version" ในช่อง Description ไม่ต้องตกใจครับ มันเป็นแค่บั๊กการแสดงผลทางหน้าจอ (Cosmetic) ตราบใดที่สถานะขึ้นว่า "Applied" แสดงว่าระบบได้รับการป้องกันเรียบร้อยแล้วครับ

ล่าสุด หน่วยงานความมั่นคงสหรัฐฯ (CISA) สั่งขีดเส้นตาย

ความรุนแรงของเรื่องนี้ทำให้หน่วยงาน CISA ของสหรัฐฯอเมริกา ได้ประกาศบรรจุช่องโหว่ CVE-2026-42897 นี้เข้าสู่บัญชีรายชื่อช่องโหว่ที่กำลังถูกโจมตีจริง (Known Exploited Vulnerabilities - KEV) พร้อมทั้งออกคำสั่งบังคับให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ทั้งหมดดำเนินการแก้ไขและรับมือให้เสร็จสิ้นภายในวันที่ 29 พฤษภาคม 2026 นี้

ณ เวลานี้ ยังไม่มีรายละเอียดเชิงลึกว่ากลุ่มแฮกเกอร์ไหนเป็นคนทำ หรือเป้าหมายหลักคือใคร แต่เพื่อความปลอดภัยสูงสุด ใครที่ดูแลระบบ Exchange Server อยู่ ผมแนะนำว่า "อย่ารอช้า รีบไปอัปเดตตามคำแนะนำของ Microsoft ทันทีครับ"

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก