ที่มาภาพ: The Register
นักเรียนวัย 17 ปีค้นพบช่องโหว่ระดับสูงในเครือข่ายโรงเรียนอังกฤษที่เปิดให้เข้าถึง Active Directory และ Google Workspace อย่างไม่มีการตรวจสอบสิทธิ์
⚡ สรุป 30 วิ
นักเรียน 17 ปีจากโรงเรียนระดับ sixth form ในสหราชอาณาจักรพบว่าระบบเครือข่ายเปิดให้เข้าถึง Active Directory และ Google Workspace โดยไม่มีการตรวจสอบสิทธิ์…
นักเรียนอายุ 17 ปีจากโรงเรียนมัธยมระดับ sixth form ในสหราชอาณาจักรได้ค้นพบช่องโหว่ระดับสูงในระบบเครือข่ายของโรงเรียนที่เปิดให้เข้าถึง Active Directory และ Google Workspace โดยไม่มีการตรวจสอบสิทธิ์ใด ๆ การค้นพบนี้แสดงให้เห็นว่าระบบไอทีของสถาบันการศึกษาอาจถูกเข้าถึงและควบคุมได้อย่างเต็มที่โดยผู้ใช้ที่ไม่มีอำนาจ ซึ่งเป็นความเสี่ยงต่อข้อมูลส่วนบุคคลของนักเรียนและบุคลากรทั้งหมด
Overview
การเชื่อมต่อแล็ปท็อปของนักเรียนเข้าสู่โดเมนของโรงเรียนทำให้เขาเห็นเครื่องมือของ domain controller ในโหมดอ่านอย่างไม่มีการตรวจสอบสิทธิ์ ผู้ใช้สามารถเรียกดูแผนผังนโยบายและสำรวจไดเรกทอรีได้โดยไม่มีข้อจำกัด นอกจากนี้ข้อมูลสำคัญเช่นชื่อผู้ดูแลระบบและรหัสผ่านถูกบันทึกไว้ในฟิลด์คำอธิบายของผู้ใช้ ซึ่งสามารถมองเห็นได้โดยทุกคนที่เชื่อมต่อกับเครือข่าย
นักเรียนคนนี้ได้ค้นพบบัญชีผู้ดูแลระดับสูงพร้อมรหัสผ่านที่เขียนอยู่ชัดเจน เช่น “horse fence ditch” ซึ่งเป็นรหัสผ่านของ domain administrator อีกหลายบัญชีสำรองก็มีรหัสผ่านง่าย ๆ เช่น “bd” และ “bigbaddog” การเปิดเผยข้อมูลเหล่านี้ทำให้ผู้ที่มีสิทธิ์เข้าถึงเครือข่ายสามารถทำการเปลี่ยนแปลงได้ทุกอย่าง ตั้งแต่การดูข้อมูลส่วนบุคคลของนักเรียนและคณาจารย์ ไปจนถึงการควบคุมแอปพลิเคชันจัดการห้องเรียนอย่าง LanSchool
Vulnerabilities Discovered
- รหัสผ่านของผู้ดูแลระบบถูกบันทึกในฟิลด์ description ของ Active Directory
- ไม่มีการตรวจสอบสิทธิ์เมื่อเชื่อมต่ออุปกรณ์ของผู้ใช้กับโดเมน
- เครื่องมือของ domain controller สามารถเข้าถึงได้ในโหมดอ่านโดยไม่มีการจำกัด
- ระบบ Google Workspace ถูกซิงค์กับโดเมนเดียวกัน ทำให้ผู้ใช้ที่เจาะระบบได้เข้าถึงกล่องจดหมายของผู้ใช้ทั้งหมด
นักเรียนอธิบายว่า หากเขาเลือกใช้สิทธิ์ที่ได้ เขาจะสามารถเข้าถึงข้อมูลของนักเรียนและคณาจารย์, ใช้ Remote Desktop เชื่อมต่อไปยังเซิร์ฟเวอร์ใดก็ได้, หรือแม้กระทั่งลบข้อมูลและทำลายเครือข่ายทั้งหมดได้ การเข้าถึงนี้รวมถึงการดู firewall settings, security policies, และ keystroke histories ของผู้ใช้ทั้งหมดในระบบ
Potential Impact
การที่ระบบเครือข่ายของโรงเรียนเปิดให้เข้าถึงโดยไม่มีการตรวจสอบสิทธิ์ ทำให้ข้อมูลส่วนบุคคลของนักเรียน, คณะครู, และบุคลากรถูกเปิดเผยต่อความเสี่ยงจากการโจมตีภายนอกหรือการใช้ในทางที่ผิด หากผู้ประสงค์ร้ายเข้าถึงระบบอาจทำการเปลี่ยนแปลงคะแนน, แก้ไขผลการเรียน, หรือทำลายข้อมูลสำคัญของโรงเรียนได้
นอกจากนี้ การเชื่อมต่อ Google Workspace ทำให้ผู้โจมตีอาจเข้าถึงอีเมลของผู้ใช้ทั้งหมด ซึ่งอาจเป็นแหล่งข้อมูลสำคัญสำหรับการฟิชชิงหรือการขโมยข้อมูลส่วนบุคคล การที่ผู้ใช้สามารถดู policy maps และ firewall settings โดยไม่มีข้อจำกัดก็เพิ่มโอกาสให้ผู้โจมตีสามารถปิดกั้นการป้องกันหรือเปิดช่องทางใหม่ให้กับการโจมตีต่อเนื่อง
Lessons Learned
เหตุการณ์นี้ชี้ให้เห็นว่าการจัดเก็บรหัสผ่านในฟิลด์ที่ไม่มีการเข้ารหัสหรือควบคุมการเข้าถึงเป็นการละเลยหลักการความปลอดภัยขั้นพื้นฐาน Do not store passwords in cleartext นอกจากนี้ การให้ผู้ใช้ทั่วไปสามารถเห็นเครื่องมือของ domain controller โดยไม่มีการตรวจสอบสิทธิ์เป็นความบกพร่องที่สำคัญของการออกแบบระบบไอทีของโรงเรียน
การจัดการบัญชีสำรองด้วยรหัสผ่านง่าย ๆ เช่น “bd” หรือ “bigbaddog” ยังเป็นตัวอย่างของการละเลยการตั้งค่าความปลอดภัยขั้นสูง การตั้งรหัสผ่านที่ซับซ้อนและการใช้ระบบจัดการรหัสผ่านที่มีการควบคุมการเข้าถึงเป็นสิ่งจำเป็น
Recommendations
- Active Directory ควรปิดการแสดงฟิลด์ description หรืออย่างน้อยต้องเข้ารหัสข้อมูลสำคัญที่บันทึกไว้
- กำหนดนโยบาย least privilege เพื่อให้ผู้ใช้ทั่วไปไม่สามารถเข้าถึงเครื่องมือของ domain controller ได้เลย
- ใช้การยืนยันตัวตนแบบหลายขั้นตอน (MFA) สำหรับบัญชีผู้ดูแลระดับสูงและบัญชีสำรองทั้งหมด
- แยกการจัดการบัญชีผู้ดูแลของ Google Workspace ออกจากโดเมนของโรงเรียนเพื่อจำกัดการเข้าถึงโดยรวม
- ดำเนินการตรวจสอบความปลอดภัยอย่างสม่ำเสมอ (penetration testing) และตรวจสอบการตั้งค่าความปลอดภัยของระบบเครือข่ายโดยผู้เชี่ยวชาญภายนอก
Impact on Education Sector
กรณีนี้อาจเป็นสัญญาณเตือนให้โรงเรียนและสถาบันการศึกษาทั่วโลกตรวจสอบระบบไอทีของตนอย่างละเอียด เนื่องจากหลายโรงเรียนใช้โครงสร้าง Active Directory ร่วมกับบริการคลาวด์เช่น Google Workspace หากไม่มีการควบคุมที่เข้มงวด ความเสี่ยงต่อการละเมิดข้อมูลของนักเรียนและคณาจารย์จะเพิ่มสูงขึ้น
การเปิดเผยข้อมูลดังกล่าวอาจส่งผลต่อความเชื่อมั่นของผู้ปกครองต่อการใช้เทคโนโลยีในห้องเรียน และอาจกระตุ้นให้หน่วยงานกำกับดูแลด้านการศึกษาออกมาตรฐานความปลอดภัยข้อมูลที่เข้มงวดยิ่งขึ้นในอนาคต
Summary
นักเรียนคนหนึ่งจากโรงเรียนอังกฤษได้พบช่องโหว่ระดับสูงในระบบ Active Directory และ Google Workspace ของโรงเรียนที่เปิดให้เข้าถึงโดยไม่มีการตรวจสอบสิทธิ์ การละเลยการจัดเก็บรหัสผ่านและการให้สิทธิ์สูงเกินไปทำให้ข้อมูลส่วนบุคคลของนักเรียนและคณะครูเสี่ยงต่อการถูกโจมตี หน่วยงานการศึกษาจำเป็นต้องปรับปรุงมาตรการความปลอดภัยและนโยบายการจัดการสิทธิ์อย่างเร่งด่วน.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- UK school’s network left wide open for invasion, student found
- ผู้เขียน
- Unknown
- แหล่ง
- The Register
- วันที่เผยแพร่
- 25 มิถุนายน 2569 เวลา 14:00
