- ช่องโหว่ร้ายแรงของเซิร์ฟเวอร์ Microsoft SharePoint ถูกนำไปใช้โจมตี ทำให้ หน่วยงานรัฐบาลกลางและรัฐบาลมลรัฐของสหรัฐฯ มหาวิทยาลัย บริษัทพลังงาน และผู้ให้บริการโทรคมนาคมในเอเชีย รวมถึงองค์กรและบริษัททั่วโลกถูกแฮ็ก
- การแฮ็กครั้งนี้มุ่งเป้าไปที่ ช่องโหว่แบบ 'zero-day' ที่ยังไม่มีแพตช์ ทำให้เซิร์ฟเวอร์ SharePoint หลายหมื่นเครื่องตกอยู่ในความเสี่ยง Microsoft ออกแพตช์ให้เพียงบางเวอร์ชัน ส่วนเวอร์ชันที่เหลือยังคงมีช่องโหว่
- ผู้โจมตีสามารถก่อความเสียหายรุนแรง เช่น ขโมยข้อมูลอ่อนไหว รวบรวมรหัสผ่าน และยึดกุญแจสำหรับการเจาะกลับเข้ามาอีกครั้ง บางกรณีถึงขั้น "ยึด" คลังเอกสารสำหรับการเปิดเผยข้อมูลของภาครัฐจนไม่สามารถเข้าถึงได้
- ขอบเขตความเสียหายไม่ได้จำกัดแค่สหรัฐฯ แต่ครอบคลุมยุโรป เอเชีย อเมริกาใต้ และหลายประเทศทั่วโลก หน่วยงานอย่าง FBI และ CISA ของแต่ละประเทศได้เริ่มตอบสนองฉุกเฉินและแบ่งปันข้อมูล
- Microsoft ถูกวิจารณ์มาอย่างต่อเนื่องจากเหตุการณ์ด้านความปลอดภัยที่เกิดซ้ำในช่วงหลายปีที่ผ่านมา และเหตุการณ์ครั้งนี้ก็ทำให้ ข้อจำกัดเชิงโครงสร้าง เช่น ความล่าช้าในการออกแพตช์ ระบบความปลอดภัยที่อ่อนแอ และความเป็นไปได้ที่ผู้โจมตีจะกลับเข้ามาใหม่ ถูกจับตามองอีกครั้ง
การแฮ็กเซิร์ฟเวอร์ Microsoft SharePoint
- ผู้โจมตีที่ไม่ทราบตัวตนใช้ ช่องโหว่ด้านความปลอดภัยที่ยังไม่เปิดเผยของ SharePoint ซึ่งเป็นซอฟต์แวร์ทำงานร่วมกันของ Microsoft เพื่อ โจมตีหน่วยงานและบริษัททั่วโลก รวมถึงรัฐบาลกลางและรัฐบาลมลรัฐของสหรัฐฯ มหาวิทยาลัย บริษัทพลังงาน และผู้ให้บริการโทรคมนาคมในเอเชีย
- การโจมตีครั้งนี้มุ่งเป้าไปที่ ช่องโหว่ zero-day (0-day) ทำให้เกิดความเสียหายหลายรูปแบบ เช่น การรั่วไหลและการขโมยข้อมูลภายในเซิร์ฟเวอร์ รวมถึงการได้มาซึ่งกุญแจเข้ารหัส
สถานะช่องโหว่และแพตช์
- ตามข้อมูลจากผู้เชี่ยวชาญ เซิร์ฟเวอร์ SharePoint หลายหมื่นเครื่องกำลังเผชิญความเสี่ยง เป้าหมายของการโจมตีจำกัดอยู่ที่เซิร์ฟเวอร์แบบ on-premises โดยบริการคลาวด์ (เช่น Microsoft 365) ไม่ได้รับผลกระทบ
- Microsoft ประกาศแพตช์สำหรับหนึ่งเวอร์ชันเมื่อวันอาทิตย์ แต่ อีก 2 เวอร์ชันยังไม่มีแพตช์ ขณะที่องค์กรที่ได้รับผลกระทบกำลังดำเนินมาตรการตอบสนองและวิธีแก้ชั่วคราวด้วยตนเอง
- แม้หลังจากติดตั้งแพตช์แล้ว ผู้โจมตีก็ยังอาจ กลับเข้ามาเจาะระบบซ้ำได้ผ่านกุญแจที่ขโมยไปก่อนหน้า จึงมีการย้ำว่าการแพตช์อย่างรวดเร็วเพียงอย่างเดียวไม่เพียงพอต่อการฟื้นฟูความเสียหาย
ขอบเขตของการโจมตีและความเสียหาย
- บริษัทด้านความปลอดภัยหลายแห่ง เช่น CrowdStrike, Palo Alto Networks และ Eye Security ยืนยันว่า มีหน่วยงานและบริษัทอย่างน้อยหลายสิบแห่งถูกเจาะระบบ
- องค์กรที่ได้รับผลกระทบมีหลากหลาย ตั้งแต่รัฐบาลกลางและรัฐบาลมลรัฐของสหรัฐฯ หน่วยงานรัฐบาลในยุโรป มหาวิทยาลัย บริษัทพลังงาน ไปจนถึงผู้ให้บริการโทรคมนาคมในเอเชีย
- หนึ่งในรัฐบาลมลรัฐของสหรัฐฯ ระบุว่า คลังเอกสารทางการสำหรับแจ้งข้อมูลแก่ประชาชนถูกแฮ็กจนไม่สามารถเข้าถึงได้ และบางฝ่ายยังแสดงความกังวลถึงการโจมตีแบบ "wiper" ที่อาจลบข้อมูลทั้งหมด
การตอบสนองของภาครัฐและอุตสาหกรรมความปลอดภัย
- หน่วยงานรัฐบาลสหรัฐฯ เช่น FBI และ CISA กำลังดำเนิน การสอบสวนและการตอบสนองร่วมกันอย่างเร่งด่วน
- CISA ระบุว่าได้ประสานงานกับ Microsoft ทันทีหลังได้รับการแจ้งเตือนจากบริษัทความปลอดภัยไซเบอร์ภาคเอกชน และเร่งให้มีการพัฒนาแพตช์
- Center for Internet Security และองค์กรอื่น ๆ ได้ส่ง การแจ้งเตือนช่องโหว่ฉุกเฉินไปยังราว 100 องค์กร ขณะเดียวกันการแบ่งปันข้อมูลและบุคลากรตอบสนองเหตุการณ์ก็ลดลงอย่างมากจากการตัดงบประมาณ ทำให้การรับมือยากขึ้น
Microsoft กับข้อถกเถียงด้านความปลอดภัยที่เกิดซ้ำ
- ในช่วง 2 ปีที่ผ่านมา Microsoft เผชิญ ความเชื่อมั่นที่ลดลงจากหน่วยงานสาธารณะและลูกค้าภาครัฐ จากเหตุการณ์แฮ็กต่อเนื่องหลายครั้ง เช่น การแฮ็กอีเมลภาครัฐจากจีนในปี 2023 การเจาะเครือข่ายภายในของบริษัท และข้อผิดพลาดในการเขียนโปรแกรมบนคลาวด์
- การแฮ็กครั้งนี้ยิ่งตอกย้ำ ข้อจำกัดเชิงโครงสร้าง เช่น ความล่าช้าในการออกแพตช์ การไม่สะท้อนความคล้ายคลึงของช่องโหว่ และการจัดการความปลอดภัยที่หละหลวมซ้ำซาก
- ประเด็นถกเถียงเรื่องการใช้วิศวกรที่อยู่ในจีนในบุคลากรสนับสนุนโครงการคลาวด์ของกระทรวงกลาโหมสหรัฐฯ ยังยิ่งทำให้ ความกังวลต่อการพึ่งพา Microsoft ในภาครัฐเพิ่มสูงขึ้น
บทสรุปและแนวโน้ม
- เหตุการณ์นี้แสดงให้เห็นว่า ช่องโหว่เพียงจุดเดียวในโซลูชันการทำงานร่วมกันขนาดใหญ่สามารถสร้างผลกระทบรุนแรงเป็นวงกว้างต่อหน่วยงานและบริษัทจำนวนมากทั่วโลกได้
- ผู้โจมตีอาจยัง แทรกซึมต่อเนื่องได้เป็นเวลานานแม้หลังแพตช์แล้ว ผ่านกุญแจเข้ารหัสที่ได้มา จึงจำเป็นต้องมีการเสริมความปลอดภัยเชิงรากฐานนอกเหนือจากการแพตช์
- การลดงบประมาณและบุคลากรด้านความปลอดภัย รวมถึงการขาด IT governance ถูกชี้ว่าเป็น จุดอ่อนเชิงโครงสร้างของการรับมือภัยคุกคามไซเบอร์ในภาครัฐ
1 ความคิดเห็น
ความเห็นจาก Hacker News
CISA แนะนำให้องค์กรที่มีช่องโหว่ด้านความปลอดภัยแยกผลิตภัณฑ์ดังกล่าวออกจากอินเทอร์เน็ตจนกว่าจะมีแพตช์ทางการออกมา แต่ก็น่าสนใจที่ยังมีองค์กรซึ่งโฮสต์ SharePoint แบบ on-premises ด้วยตนเองและเปิดออกสู่อินเทอร์เน็ต เดิมทีคิดว่าองค์กรแบบนี้ส่วนใหญ่คงบังคับใช้ VPN
รู้สึกเสียดายที่ CISA กลายเป็นหน่วยงานที่สูญเสียบุคลากรที่ทำงานได้จริงไปมากเมื่อเทียบกับอดีต และให้ความสำคัญกับการทำตามการเมืองมากกว่า ยกตัวอย่างกรณีล่าสุดที่แอริโซนาถูกแฮ็กเกอร์อิหร่านโจมตีแต่ไม่ได้ขอความช่วยเหลือ พร้อมแชร์ ลิงก์ข่าว โดยชี้ว่าองค์กรอย่าง CISA ที่ตรวจสอบการโจมตีในวงกว้างนั้นสำคัญมาก และกังวลว่าตอนนี้กำลังถูกชี้นำด้วยเกณฑ์ทางการเมือง ลิงก์ Techdirt
แนวปฏิบัติที่ดีที่สุดคือสมมติว่าเครือข่ายถูกเจาะไปแล้ว VPN ก็ไม่ได้รับประกันความปลอดภัยอย่างสมบูรณ์ ยิ่งเป็นองค์กรขนาดใหญ่ยิ่งมีโอกาสทำอุปกรณ์หายหรือจัดการได้ยาก จึงสำคัญที่จะใช้แนวทาง ‘zero trust’ และให้เข้าถึงได้จากทุกที่ องค์กรต้องการทั้งการควบคุมข้อมูลและความยืดหยุ่นในการทำงาน
เดิมที SharePoint ก็ถูกโปรโมตอย่างจริงจังสำหรับการทำเว็บไซต์สาธารณะด้วย ก่อนยุคคลาวด์พนักงานขายของ Microsoft ถึงกับมาที่ออฟฟิศแล้วโฆษณาว่า SharePoint รุ่นใหม่จะทำให้ Wordpress หายไป เพราะแรงเฉื่อยแบบนี้จึงยังมีหลายองค์กรที่ค้างอยู่กับแนวทางเก่า
การรันบริการภายในอย่าง SharePoint, Exchange ฯลฯ ไว้หลัง pre-auth reverse proxy ก็ไม่ใช่เรื่องแปลกนัก
ในอดีต Microsoft ทำการตลาด SharePoint สำหรับใช้งานเป็นอินทราเน็ตอย่างมาก ทำให้หลายหน่วยงานนำไปใช้ และด้วยการสิ้นสุดการสนับสนุนของ SharePoint 2019 จึงมีหลายองค์กรที่กำลังเร่งสร้างระบบทดแทน
สงสัยว่าเหตุใด Principal Engineer Copilot ถึงป้องกันช่องโหว่แบบนี้ไม่ได้
ช่องโหว่นี้อาจมีอยู่ก่อนที่ Copilot จะได้ตำแหน่งนั้นก็ได้ อาจเป็นปัญหาที่เข้ามาตั้งแต่สมัยเป็นเด็กฝึกงานด้วยซ้ำ
แฮ็กเกอร์ ลูกค้า พนักงาน ผู้ดูแลระบบ ล้วนคล้ายกันไปหมด ถูกจีนและลูกค้าของตัวเอง รวมถึงผู้ดูแลหรือพนักงานที่อยู่ในจีนหรือมีฐานอยู่ที่นั่นแฮ็กมาหลายครั้งจนคิดว่าทั้งบริษัทคงถูกเจาะไปแล้วเสียด้วยซ้ำ PE copilot อาจถึงขั้นช่วยฝั่งโจมตีก็ได้ สะท้อนความไม่ไว้วางใจอย่างมาก
แฮ็กเกอร์ก็ใช้ Copilot ได้เหมือนกัน สุดท้ายเลยคงต้องมีฝั่งหนึ่งชนะอยู่ดี(?)
ใช้เวลากับ SharePoint ไปมากเกินพอแล้ว รู้สึกว่าการเปิดมันออกสู่อินเทอร์เน็ตไม่ใช่ทางเลือกที่ดีเด็ดขาด ดูเหมือนตั้งแต่บางเวอร์ชันเป็นต้นมาจะมีการโปรโมตให้ใช้เป็นเว็บเซิร์ฟเวอร์สาธารณะด้วย แต่กลับเลือกติดตั้งทุกอินสแตนซ์ให้แยกออกจากเครือข่ายแทน
ช่วงต้นทศวรรษ 2010 Microsoft เคยทำการตลาด SharePoint อย่างหนักในฐานะโซลูชันสำหรับเว็บไซต์บนอินเทอร์เน็ต และเคยเห็นกรณีที่ผู้ผลิตรถยนต์ยุโรปอย่าง BMW หรือ Ferrari ใช้มันทำเว็บไซต์การตลาดระดับโลกด้วย แต่ด้วยราคาที่แพงมาก เช่น 40,000 ดอลลาร์ต่อเว็บไซต์ จึงอยู่ได้ไม่นาน
ตอนที่เคยใช้ SharePoint ชั่วครู่เมื่อหลายปีก่อน ก็คิดว่าการโฮสต์เว็บสาธารณะเป็นจุดประสงค์ดั้งเดิมของมัน
ได้ยินมุกในหมู่เจ้าหน้าที่เพนตากอนบ่อยมากว่า “ถ้าอยากโค่นกองทัพสหรัฐ ก็แค่ทำให้ SharePoint ใช้ไม่ได้” เป็นมุกที่มักโผล่ในสุนทรพจน์ของทหารเสมอ
ฟีดแจ้งเตือนความปลอดภัยแบบเรียลไทม์ของฉันจับข่าวนี้ได้ก่อนสื่อใหญ่ ฟีด ZeroDayPublishing
รู้สึกว่าในธุรกิจองค์กรแบบ on-premises ควรมี Red Hat มากกว่า Microsoft โดยเฉพาะกับลูกค้าสำคัญอย่าง DoD ช่องโหว่แบบนี้เป็นสิ่งที่ยอมรับไม่ได้ ทั้งที่หลายคนพูดกันว่าเจาะ Google ไม่ได้ แต่หน่วยงานรัฐกลับใช้โซลูชัน on-premises ที่เปราะบางอย่าง SharePoint กันมาก เลยสงสัยว่าทำไมไม่ไปใช้สายลินุกซ์ที่ถูกกว่าและแพร่หลายกว่ามากกว่า หรือจริง ๆ แล้วความปลอดภัยไม่ได้เป็นลำดับความสำคัญสูงสุดกันแน่
สงสัยว่า Microsoft เคยให้พนักงานที่อาศัยอยู่ในจีนเข้ามาดูแลเซิร์ฟเวอร์ของกระทรวงกลาโหมสหรัฐจริงหรือไม่ และคิดว่าใน DoD ก็น่าจะใช้ SharePoint ด้วย
มี M365 เวอร์ชันที่ DoD ใช้โดยเฉพาะ (รวม SPO) แต่เรื่องนี้ไม่เกี่ยวกับข่าวดังกล่าว
ลิงก์ข่าวที่เกี่ยวข้อง บทความ Reuters
หากอ้างอิงเนื้อหาในข่าว: “ข้อบกพร่องในการเขียนโปรแกรมของบริการคลาวด์ทำให้แฮ็กเกอร์สายจีนสามารถขโมยอีเมลของรัฐบาลกลางได้ และ ProPublica เปิดเผยว่า Microsoft ยังมีบุคลากรจากจีนเป็นเจ้าหน้าที่สนับสนุนในโครงการคลาวด์ของกระทรวงกลาโหมสหรัฐจนถึงไม่นานมานี้ ทำให้รัฐมนตรีกลาโหมสั่งทบทวนทั้งหมด”
รู้สึกว่าน่าประทับใจตรงที่ผลจากการตัดงบ CISA ครั้งใหญ่ทำให้กำลังคนตอบสนองวิกฤตลดลงถึง 65% ส่งผลให้การรับมือเหตุการณ์ใช้เวลานานขึ้นมาก
อาจฟังดูแรงไปหน่อย แต่ก็หวังว่าจะเกิดเรื่องแบบนี้อีกจนบริษัทต่าง ๆ เลิกใช้ SharePoint เสียที ไม่ได้ใช้มันมาตั้งแต่ปี 2017 แล้ว แต่ทุกครั้งที่ใช้มันแย่มาก ถึงขั้นเคยใส่เสื้อที่มีคำว่า ‘SharepoIT Happens’ และเพื่อนร่วมงานก็เห็นพ้องกันหมดว่าเกลียด SharePoint
ตราบใดที่ยังไม่เลิกใช้ M365 ก็แทบจะเลิกใช้ SharePoint ไม่ได้เลย เช่น เมื่อสร้างทีมใน Teams ระบบจะสร้าง M365 group ให้อัตโนมัติ และแต่ละกลุ่มก็จะมีทั้งไซต์ SharePoint กับกล่องจดหมาย Exchange ไฟล์ของ channel ก็เก็บใน SharePoint ข้อความเก็บใน Exchange ส่วนไฟล์ส่วนตัวเก็บใน OneDrive (=SharePoint) พูดได้ว่า M365 ทั้งก้อนถูกสร้างอยู่บน SharePoint และ Exchange
เคยอยู่ในบริษัทที่ Microsoft พยายามติดตั้งระบบ DRM อัตโนมัติบนฐาน SharePoint เมื่ออัปโหลดเอกสาร SharePoint จะใส่ DRM ให้อัตโนมัติ และเมื่อผู้ใช้ดาวน์โหลดก็จะเปิดไฟล์ได้เฉพาะบนอุปกรณ์ที่กำหนดไว้ แต่ในทางปฏิบัติขึ้นอยู่กับวิธีล็อกอิน บางครั้งก็ยังดาวน์โหลดไฟล์ที่ไม่มี DRM ได้อยู่ และสุดท้ายแม้แต่ที่ปรึกษา Microsoft ก็แก้ไม่ได้
บริษัทเรามีทั้ง SharePoint และเว็บไซต์เอกสาร/โน้ตภายในอีกระบบหนึ่งแยกต่างหาก (เช่น แนว Notion/Quip/Confluence) โดยนักพัฒนาส่วนใหญ่ใช้ระบบหลัง แต่พอมีพนักงานบางคนอัปโหลดแต่ไฟล์ Word สุดท้ายทุกคนก็ต้องใช้ SharePoint อยู่ดี และต้องคอยหาข้อมูลจากสองที่
หัวหน้าสั่งให้ตั้งค่า SharePoint ต่อเนื่องเกินปี แต่พอผ่านไป 6 เดือนและได้ศึกษาจริงจังก็พบว่าไม่มีอะไรน่าประทับใจ สุดท้ายหัวหน้าจ้างช่างอีกคนมาติดตั้งจนเสร็จภายในวันเดียว แต่ไม่มีใครใช้เลย สิ่งเดียวที่เหลือคือ USB drive ความเร็วสูงของฉันถูกขโมยไป
สำหรับบริษัทขนาดกลางที่ทำงานกับหน่วยงานรัฐ ต่อให้มีโซลูชันที่ดีกว่าก็แทบไม่ได้ใช้ เพราะข้อกำหนดด้านความมั่นคงไซเบอร์มีเยอะมากจน SharePoint กลายเป็นตัวเลือก ‘เดียวที่ใช้งานได้ในเชิงพาณิชย์’ ถึง SharePoint จะใช้งานลำบาก แต่ทางเลือกอื่นกลับถูกมองว่า ‘เสี่ยง’ มีปัญหาจุกจิกมากมายทั้งเลื่อนรายการไฟล์ไม่ได้ ฟีเจอร์อัตโนมัติมีปัญหา การล็อกอินข้าม M365 tenant พัง URL อ่านไม่รู้เรื่อง การค้นหาช้า ตาราง/ตัวกรองผิดพลาด UI ตั้งค่าสิทธิ์ซ่อนลึก ฯลฯ ซึ่งไม่ใช่เรื่องที่ควรต้องไปค้นหาวิธีแก้เอาเอง
ถ้าวันหนึ่งฉันได้เป็นกรรมการบริษัท ฉันจะไม่ไว้ใจ CTO หรือผู้ก่อตั้งที่เสนอให้ใช้โซลูชันของ Microsoft ด้วยความสมัครใจเลย ทุกครั้งที่คลิกลิงก์ Microsoft Office ใน Teams ความไม่ไว้วางใจต่อ Microsoft จะยิ่งเพิ่มขึ้น และต่อให้ SharePoint มีช่องโหว่ก็ไม่ทำให้แปลกใจเลย