- 21
- มีนาคม
CISA (Cybersecurity and Infrastructure Security Agency) หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์ของสหรัฐอเมริกา ประกาศเพิ่ม CVE-2026-20963 ช่องโหว่ Remote Code Execution (RCE) ใน Microsoft SharePoint เข้าสู่ Known Exploited Vulnerabilities (KEV) Catalog เมื่อวันที่ 18 มีนาคม 2569 หลังพบว่ามีการโจมตีจริงในระบบจริง (Active Exploitation in the Wild) พร้อมสั่งให้หน่วยงานรัฐบาลกลางสหรัฐฯ แพตช์ให้เสร็จภายในวันที่ 21 มีนาคม 2569
ระดับความรุนแรง: CRITICAL
| CVE ID | CVE-2026-20963 |
| ประเภทช่องโหว่ | Deserialization of Untrusted Data (CWE-502) |
| ผลกระทบ | Remote Code Execution (RCE) |
| CVSS Score | 8.8 (High) |
| สถานะ | ถูกโจมตีจริง (Actively Exploited) |
| Deadline แพตช์ | 21 มีนาคม 2569 (CISA BOD 22-01) |
CVE-2026-20963 คืออะไร?
CVE-2026-20963 เป็นช่องโหว่ประเภท Deserialization of Untrusted Data ใน Microsoft SharePoint Server ซึ่งเกิดจากการจัดการ Serialized Objects ใน ASP.NET ViewState และ Data Streams อื่นๆ ที่ SharePoint ใช้งานอย่างไม่ปลอดภัย
ผู้โจมตีที่มีสิทธิ์เข้าถึงระบบระดับ Standard User สามารถส่ง Serialized Object ที่ถูกสร้างขึ้นมาเป็นพิเศษ (Crafted Payload) เข้าไปยัง SharePoint Server ทำให้เกิดการรันโค้ดอันตรายบนเซิร์ฟเวอร์ (Remote Code Execution) ในบริบทของ SharePoint Service Account โดยไม่ต้องมีปฏิสัมพันธ์จากผู้ใช้งาน (No User Interaction Required)
ช่องโหว่ประเภท Deserialization ถือเป็นหนึ่งใน OWASP Top 10 ความเสี่ยงด้าน ความปลอดภัยของระบบสารสนเทศ ที่องค์กรต้องให้ความสำคัญ เนื่องจากสามารถนำไปสู่การเข้าควบคุมเซิร์ฟเวอร์ทั้งเครื่องได้
Attack Vector โดยสรุป
| ขั้นตอน | รายละเอียด |
|---|---|
| 1. เข้าถึงระบบ | ผู้โจมตี Authenticate เข้า SharePoint ด้วยบัญชี Standard User (ไม่ต้องเป็น Admin) |
| 2. สร้าง Payload | สร้าง Serialized Object ที่มีโค้ดอันตรายแฝงอยู่ |
| 3. ส่ง Request | ส่ง HTTP Request ไปยัง SharePoint Application Page ที่มีช่องโหว่ |
| 4. Deserialization | SharePoint ทำ Deserialization โดยไม่ตรวจสอบ ทำให้โค้ดอันตรายถูกรัน |
| 5. RCE สำเร็จ | ผู้โจมตีสามารถรันคำสั่งบนเซิร์ฟเวอร์ในบริบทของ SharePoint Service Account |
ข้อควรระวัง: เนื่องจากช่องโหว่นี้ต้องการเพียง Standard User Authentication ทำให้ผู้โจมตีสามารถใช้ Credential ที่ขโมยมาจาก Phishing หรือ การโจมตีแบบ Injection อื่นๆ เพื่อเข้าถึงระบบและ Exploit ช่องโหว่นี้ได้ทันที
Patch Tuesday มีนาคม 2569 — สรุปภาพรวม
CVE-2026-20963 เป็นหนึ่งในช่องโหว่ที่ Microsoft แก้ไขใน Patch Tuesday ประจำเดือนมีนาคม 2569 ซึ่งครอบคลุมช่องโหว่ทั้งหมด 84 รายการ รวมถึง 8 ช่องโหว่ระดับ Critical
| ประเภทช่องโหว่ | จำนวน | สัดส่วน |
|---|---|---|
| Elevation of Privilege | 46 | 55% |
| Remote Code Execution (RCE) | 16 | 19% |
| Information Disclosure | 10 | 12% |
| Denial of Service / Spoofing / อื่นๆ | 12 | 14% |
| รวม | 84 | 100% |
ช่องโหว่ Critical ที่โดดเด่น
| CVE | ผลิตภัณฑ์ | CVSS | ประเภท |
|---|---|---|---|
| CVE-2026-20963 | SharePoint Server | 8.8 | RCE (Actively Exploited) |
| CVE-2026-21536 | Microsoft Devices Pricing | 9.8 | RCE |
| CVE-2026-26110 | Microsoft Office | 8.4 | RCE |
| CVE-2026-26113 | Microsoft Office | 8.4 | RCE |
| CVE-2026-26144 | Microsoft Excel | 7.5 | Information Disclosure |
ใครได้รับผลกระทบ?
ช่องโหว่นี้ส่งผลกระทบต่อ Microsoft SharePoint Server ทุกเวอร์ชันที่ยังใช้งานอยู่:
- Microsoft SharePoint Server Subscription Edition — เวอร์ชันล่าสุดที่ใช้รูปแบบ Subscription
- Microsoft SharePoint Server 2019 — ยังอยู่ใน Mainstream Support
- Microsoft SharePoint Enterprise Server 2016 — ยังอยู่ใน Extended Support
องค์กรใดก็ตามที่ใช้ SharePoint Server On-Premises สำหรับจัดการเอกสาร, Intranet Portal หรือ Collaboration — มีความเสี่ยงทั้งหมด โดยเฉพาะหน่วยงานราชการและองค์กรขนาดใหญ่ในประเทศไทยที่ใช้ SharePoint เป็น Document Management System
หมายเหตุสำหรับผู้ใช้ SharePoint Online (Microsoft 365)
ช่องโหว่นี้ส่งผลกระทบเฉพาะ SharePoint Server On-Premises เท่านั้น ผู้ใช้ SharePoint Online ผ่าน Microsoft 365 ได้รับการแพตช์โดย Microsoft โดยตรงแล้ว อย่างไรก็ตาม ยังควรตรวจสอบว่าไม่มี Hybrid Configuration ที่เชื่อมต่อกับ On-Premises Server ที่ยังไม่ได้แพตช์
วิธีตรวจสอบและแพตช์
1. ตรวจสอบเวอร์ชัน SharePoint ที่ใช้งาน
เปิด Central Administration > System Settings > Manage servers in this farm เพื่อดู Build Number แล้วเทียบกับ Build Number ที่ได้รับการแพตช์แล้ว
2. ดาวน์โหลดและติดตั้ง Security Update
- ไปที่ Microsoft Update Catalog ค้นหา KB ที่เกี่ยวข้องกับ SharePoint เวอร์ชันของคุณ
- ดาวน์โหลด Cumulative Update (CU) หรือ Security Update ล่าสุดของเดือนมีนาคม 2569
- ติดตั้งบน SharePoint Server ทุกเครื่องใน Farm
3. รัน SharePoint Products Configuration Wizard
หลังติดตั้ง Update แล้ว ต้องรัน Configuration Wizard บนทุก Server ใน Farm เพื่อให้ Database Schema ถูกอัปเดต
4. ตรวจสอบ Log หลังติดตั้ง
- ตรวจสอบ Windows Event Log สำหรับ Error
- ตรวจสอบ SharePoint ULS Log สำหรับ Warning หรือ Error
- ทดสอบฟังก์ชันหลักของ SharePoint ว่าทำงานปกติ
Checklist สำหรับ IT Admin ไทย
สำหรับทีม IT ขององค์กรไทย ใช้ Checklist นี้เพื่อให้แน่ใจว่าได้ดำเนินการครบถ้วน:
| # | รายการตรวจสอบ | สถานะ |
|---|---|---|
| 1 | ระบุ SharePoint Server ทุกเครื่องใน Farm และตรวจสอบ Build Number | ☐ |
| 2 | Backup Database และ Configuration ก่อนติดตั้ง Update | ☐ |
| 3 | ดาวน์โหลด Security Update จาก Microsoft Update Catalog | ☐ |
| 4 | ติดตั้ง Update บน SharePoint Server ทุกเครื่องใน Farm | ☐ |
| 5 | รัน SharePoint Products Configuration Wizard บนทุก Server | ☐ |
| 6 | ตรวจสอบ Event Log และ ULS Log หา Error | ☐ |
| 7 | ทดสอบฟังก์ชันหลัก: Upload/Download เอกสาร, Search, Workflow | ☐ |
| 8 | ตรวจสอบ IIS Log ย้อนหลัง 30 วัน หา Request ที่ผิดปกติไปยัง SharePoint Application Pages | ☐ |
| 9 | ตรวจสอบ Audit Log สำหรับ User Authentication ที่ผิดปกติ | ☐ |
| 10 | แจ้งผู้บริหารและทีมที่เกี่ยวข้องเรื่องสถานะการแพตช์ | ☐ |
ทำไม Patch Management ถึงสำคัญ?
กรณีของ CVE-2026-20963 สะท้อนให้เห็นว่าการบริหารจัดการแพตช์ (Patch Management) ไม่ใช่เรื่องที่จะทำเมื่อไหร่ก็ได้ โดยเฉพาะเมื่อช่องโหว่ถูกเพิ่มเข้า KEV Catalog แปลว่ามีหลักฐานชัดเจนว่าผู้โจมตีกำลังใช้ช่องโหว่นี้โจมตีจริงในขณะนี้
เหตุการณ์นี้คล้ายกับกรณี SAP Security Patch ประจำเดือนมีนาคม 2569 ที่แก้ไขช่องโหว่ Critical หลายรายการเช่นกัน ซึ่งแสดงให้เห็นว่าผู้ผลิตซอฟต์แวร์ระดับ Enterprise ทุกรายต้องเผชิญกับช่องโหว่ด้านความปลอดภัยอย่างต่อเนื่อง
Patch Management กับระบบ ERP
องค์กรที่ใช้ระบบ ERP ควรมี Patch Management Policy ที่ชัดเจน เพราะระบบ ERP เก็บข้อมูลสำคัญที่สุดขององค์กร ตั้งแต่ข้อมูลการเงิน ข้อมูลลูกค้า ไปจนถึงข้อมูลพนักงาน หากเซิร์ฟเวอร์ที่เกี่ยวข้องถูกโจมตี ผลกระทบจะรุนแรงมาก
| แนวทาง | ไม่มี Patch Management | มี Patch Management ที่ดี |
|---|---|---|
| เวลาตอบสนอง | หลายสัปดาห์ถึงหลายเดือน | ภายใน 24-72 ชั่วโมงสำหรับ Critical |
| การทดสอบก่อนติดตั้ง | ไม่มี หรือทำแบบลวกๆ | มี Test Environment และ Rollback Plan |
| การติดตาม | ไม่มีการติดตามว่าแพตช์เสร็จหรือยัง | มี Dashboard ติดตามสถานะทุก Server |
| ผลลัพธ์ | เสี่ยงถูกโจมตีสูง | ลดความเสี่ยงได้อย่างมีนัยสำคัญ |
Saeree ERP กับความปลอดภัย
Saeree ERP ถูกออกแบบโดยคำนึงถึง Security เป็นหลัก ทั้ง Audit Trail ที่บันทึกทุก Transaction, Role-Based Access Control ที่ควบคุมสิทธิ์อย่างละเอียด และ API Security ที่ป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต พร้อมทีม Security ที่คอยดูแล Patch Management อย่างต่อเนื่อง
"ช่องโหว่ที่ถูกโจมตีจริงไม่ได้รอให้คุณพร้อม — การแพตช์ช้าหนึ่งวันอาจหมายถึงข้อมูลขององค์กรทั้งหมดถูกขโมย ทุกองค์กรต้องมี Patch Management Process ที่พร้อมดำเนินการได้ทันที"
- ทีมงาน Saeree ERP
สรุป
CVE-2026-20963 เป็นตัวอย่างที่ชัดเจนว่าช่องโหว่ด้านความปลอดภัยไม่ใช่เรื่องไกลตัว แม้แต่ซอฟต์แวร์ระดับ Enterprise อย่าง Microsoft SharePoint ก็ถูกโจมตีได้ สิ่งสำคัญที่สุดคือ:
| สิ่งที่ต้องทำ | ทำไมถึงสำคัญ |
|---|---|
| แพตช์ SharePoint Server ทันที | ช่องโหว่ถูกโจมตีจริงแล้ว ยิ่งรอนานยิ่งเสี่ยง |
| ตรวจสอบ Log ย้อนหลัง | อาจถูกโจมตีแล้วก่อนแพตช์ |
| สร้าง Patch Management Policy | ป้องกันปัญหาซ้ำในอนาคต |
| ติดตาม Patch Tuesday ทุกเดือน | รู้ก่อน แก้ก่อน ปลอดภัยกว่า |
หากองค์กรของคุณกำลังมองหาระบบ ERP ที่ให้ความสำคัญกับ Security ตั้งแต่การออกแบบ ติดต่อทีมงาน Saeree ERP เพื่อปรึกษาแนวทางที่เหมาะสมกับองค์กรของคุณ
แหล่งอ้างอิง
- CISA Known Exploited Vulnerabilities Catalog
- NVD - CVE-2026-20963
- BleepingComputer - Critical Microsoft SharePoint flaw now exploited in attacks
- Help Net Security - CISA warns of active exploitation of Microsoft SharePoint vulnerability
- SecurityWeek - CISA Warns of Attacks Exploiting Recent SharePoint Vulnerability
