Hot Potato Exploit พุ่งโจมตีช่องโหว่ Windows เสี่ยงถูกแฮ็คเกอร์เข้าควบคุมเครื่อง

  • Foxglove Security ที่ปรึกษาด้านความปลอดภัยชื่อดัง ออกมาเปิดเผยช่องโหว่บนระบบปฏิบัติการ Windows หลายเวอร์ชันที่ช่วยให้แฮ็คเกอร์สามารถโจมตีเพื่อแทรกซึมเข้ามายังคอมพิวเตอร์ แล้วยกระดับสิทธิ์ของตนเองเพื่อควบคุมคอมพิวเตอร์นั้นๆได้ โดยเรียกการโจมตีนี้ว่า Hot Potato

Hot Potato เป็นการโจมตีช่องโหว่บน Windows แบบลูกโซ่ 3 ครั้งต่อเนื่องกัน ผ่านช่องโหว่ 3 รายการซึ่งบางรายการถูกค้นพบตั้งแต่ปี 2000 ผลลัพธ์ที่ได้คือ แฮ็คเกอร์สามารถเข้าถึงอุปกรณ์คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows ได้อย่าง Full Access ซึ่ง Windows ที่ได้รับกระทบประกอบด้วย Windows 7/8/8.1/10 และ Windows Server 2008/2012

ช่องโหว่ 3 รายการที่ Hot Potato ใช้โจมตี ประกอบด้วย ช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถใช้เทคนิคการปลอม Local NBNS (NetBIOS Name Service) ได้ผล 100% ส่งผลให้แฮ็คเกอร์สามารถใช้ช่องโหว่นี้เพื่อสร้างเซิฟเวอร์ WPAD (Web Proxy Auto-discovery Protocol) Proxy ปลอมขึ้นมาได้ นับว่าเป็นช่องโหว่ที่ 2 หลังจากนั้นแฮ็คเกอร์สามารถใช้ Proxy ดังกล่าวโจมตี Windows NTLM Authentication Protocol ได้ เป็นช่องโหว่ที่ 3

การโจมตีแบบลูกโซ่ต่อเนื่องกัน 3 ครั้งนี้ช่วยให้แฮ็คเกอร์สามารถยกระดับสิทธิ์ของตนจากสิทธิ์ต่ำสุดไปยังสิทธิ์ระดับ Admin ได้ทันที ผู้ที่สนใจสามารถดูการ POC ได้ตามวิดีโอด้านล่าง

สำหรับวิธีการป้องกันนั้น Foxglove Security ระบุว่า ในเชิงทฤษฎี การทำ SMB Signing สามารถบล็อกการโจมตีรูปแบบดังกล่าวได้ หรืออีกวิธีหนึ่งคือ หยุดการโจมตี NTLM Relay Attack ด้วยการใช้ “Extended Protection for Authentication” บน Windows

ที่มา: http://www.techworm.net/2016/01/windows-7-8-8-1-10-vulnerable-to-hot-potato-exploit-by-hackers.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ปกป้องข้อมูลและกู้สถานการณ์จาก Ransomware โดยอัตโนมัติ ด้วย IBM FlashSystem Cyber Vault

ทุกวันนี้ การรับมือกับ Ransomware ได้กลายเป็นหนึ่งในหน้าที่พื้นฐานของเหล่าผู้ดูแลระบบ IT ภายในองค์กรไปแล้ว และแน่นอนว่าเหล่าผู้พัฒนาโซลูชันระบบต่างๆ ที่เกี่ยวข้องกับการบริหารจัดการข้อมูล โดยเฉพาะ Enterprise Storage เองต่างก็ได้มีการพัฒนาความสามารถใหม่ๆ ขึ้นมาอย่างต่อเนื่องเพื่อช่วยเหล่าผู้ดูแลระบบ IT ในการรับมือกับภัยคุกคามดังกล่าว

[Video] รู้จักโซลูชัน IBM FlashSystem Cyber Vault: ปกป้องข้อมูลสำคัญของธุรกิจจาก Ransomware แบบอัตโนมัติ

ธุรกิจองค์กรสามารถเลือกใช้ IBM FlashSystem Cyber Vault ในการรับมือกับ Ransomware ในแบบอัตโนมัติได้อย่างเหมาะสมตามความต้องการ ต่อยอดจากการใช้เพียง IBM FlashSystem และ IBM Safeguarded Copy เพื่อปกป้องข้อมูล Snapshot จากการถูกโจมตีเพียงเท่านั้นได้