TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
- Foxglove Security ที่ปรึกษาด้านความปลอดภัยชื่อดัง ออกมาเปิดเผยช่องโหว่บนระบบปฏิบัติการ Windows หลายเวอร์ชันที่ช่วยให้แฮ็คเกอร์สามารถโจมตีเพื่อแทรกซึมเข้ามายังคอมพิวเตอร์ แล้วยกระดับสิทธิ์ของตนเองเพื่อควบคุมคอมพิวเตอร์นั้นๆได้ โดยเรียกการโจมตีนี้ว่า Hot Potato
Hot Potato เป็นการโจมตีช่องโหว่บน Windows แบบลูกโซ่ 3 ครั้งต่อเนื่องกัน ผ่านช่องโหว่ 3 รายการซึ่งบางรายการถูกค้นพบตั้งแต่ปี 2000 ผลลัพธ์ที่ได้คือ แฮ็คเกอร์สามารถเข้าถึงอุปกรณ์คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows ได้อย่าง Full Access ซึ่ง Windows ที่ได้รับกระทบประกอบด้วย Windows 7/8/8.1/10 และ Windows Server 2008/2012
ช่องโหว่ 3 รายการที่ Hot Potato ใช้โจมตี ประกอบด้วย ช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถใช้เทคนิคการปลอม Local NBNS (NetBIOS Name Service) ได้ผล 100% ส่งผลให้แฮ็คเกอร์สามารถใช้ช่องโหว่นี้เพื่อสร้างเซิฟเวอร์ WPAD (Web Proxy Auto-discovery Protocol) Proxy ปลอมขึ้นมาได้ นับว่าเป็นช่องโหว่ที่ 2 หลังจากนั้นแฮ็คเกอร์สามารถใช้ Proxy ดังกล่าวโจมตี Windows NTLM Authentication Protocol ได้ เป็นช่องโหว่ที่ 3
การโจมตีแบบลูกโซ่ต่อเนื่องกัน 3 ครั้งนี้ช่วยให้แฮ็คเกอร์สามารถยกระดับสิทธิ์ของตนจากสิทธิ์ต่ำสุดไปยังสิทธิ์ระดับ Admin ได้ทันที ผู้ที่สนใจสามารถดูการ POC ได้ตามวิดีโอด้านล่าง
สำหรับวิธีการป้องกันนั้น Foxglove Security ระบุว่า ในเชิงทฤษฎี การทำ SMB Signing สามารถบล็อกการโจมตีรูปแบบดังกล่าวได้ หรืออีกวิธีหนึ่งคือ หยุดการโจมตี NTLM Relay Attack ด้วยการใช้ “Extended Protection for Authentication” บน Windows
ที่มา: http://www.techworm.net/2016/01/windows-7-8-8-1-10-vulnerable-to-hot-potato-exploit-by-hackers.html
