TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ใน Patch Tuesday ของ Microsoft ที่เพิ่งประกาศออกมานี้ ได้มีการแจ้งเตือนถึงช่องโหว่ Zero Day จำนวน 2 รายการบน Windows NTLM ที่ส่งผลกระทบกับ Windows ทุกรุ่นตั้งแต่ปี 2007 เป็นต้นมาจนถึงปัจจุบัน ซึ่งเปิดให้ผู้โจมตีสามารถสร้าง Domain Administrator ขึ้นมาและเข้าควบคุม Domain ของทั้งองค์กรได้ โดยช่องโหว่เหล่านี้มี Patch เรียบร้อยพร้อมให้อัปเดตได้แล้ว ดังนั้นทุกองค์กรควรวางแผนอัปเดตด่วน
NT LAN Manager (NTLM) นี้เป็น Authentication Protocol เก่าของ Microsoft ที่ถูกใช้งานมาอย่างยาวนาน และถึงแม้ทาง Microsoft จะออก Kerberos มาให้ใช้แทนตั้งแต่ Windows 2000 แล้ว แต่บางระบบก็ยังคงมีการใช้งาน NTLM อยู่อย่างกว้างขวาง ทำให้การค้นพบช่องโหว่ครั้งนี้ส่งผลกระทบเป็นวงกว้างนั่นเอง
ช่องโหว่แรกที่ถูกเปิดเผยคือช่องโหว่บน LDAP ที่เปิดให้เกิดการทำ NTLM Relay ได้ ทำให้ผู้โจมตีที่สามารถเข้าถึงสิทธิ์ระดับ SYSTEM ของเครื่องในระบบทำการโจมตีผ่านทาง NTLM Session เพื่อสร้าง LDAP Operation เช่นการแก้ไขข้อมูล Domain Object ได้ โดยด้านล่างนี้เป็นคลิปแสดงช่องโหว่จากทางนักวิจัยของ Preempt ครับ
ส่วนช่องโหว่ถัดมานี้เป็นช่องโหว่บน NTLM ที่ส่งผลกระทบกับ Remote Desktop Protocol (RDP) Restricted-Admin Mode ที่เปิดให้สามารถเชื่อมต่อไปยังเครื่องปลายทางได้โดยไม่ต้องระบุรหัสผ่าน และเมื่อใช้ร่วมกับช่องโหว่แรกก็จะทำให้สามารถสร้าง Domain Admin Account ปลอมขึ้นมาในระบบได้
ที่มา: http://thehackernews.com/2017/07/windows-ntlm-security-flaw.html
