นักวิจัยพบวิธีโจมตี ขโมย User Session บน Windows ได้ทุกรุ่นภายใน 1 นาที

Alexander Korznikov นักวิจัยด้านความมั่นคงปลอดภัยได้ออกมาเปิดเผยถึงการค้นพบการโจมตีเพื่อ Hijack User Session ที่สามารถทำงานได้บน Windows ทุกรุ่นรวมถึง Windows Server ด้วย

การโจมตีนี้สามารถเกิดขึ้นได้ภายใต้เงื่อนไขที่เครื่องที่ถูกโจมตีนั้นจะต้องมีผู้ใช้งานทำการ Log In อยู่เสียก่อน แต่ผู้โจมตีนั้นไม่จำเป็นต้องรู้รหัสผ่านของเครื่องเป้าหมายแต่อย่างใด และทำการเรียกใช้คำสั่งบน cmd.exe แล้วทำการเลือก Active User Session ที่ต้องการ ก็สามารถใช้สิทธิ์ของผู้ใช้งานนั้นๆ ได้ทันที โดยสามารถเลือกใช้สิทธิ์ได้ทั้งของผู้ใช้งานแบบ Local และผู้ที่เชื่อมต่อระยะไกลผ่าน RDP เข้ามา

สำหรับคลิปการโจมตี มีดังนี้ครับ

การโจมตีบน Windows 7 ผ่านทาง Task Manager และ cmd.exe

การโจมตีบน Windows 7 ด้วยการใช้ cmd.exe อย่างเดียว

การโจมตีบน Windows Server 2012 ผ่านทาง Service Creation

การโจมตีเหล่านี้ใช้เฉพาะเครื่องมือที่มีให้อยู่บน Windows แต่แรกแล้วทั้งหมด ทำให้ไม่ต้องมีการโหลดโปรแกรมใดๆ มาติดตั้งเลย และทำให้ Admin ในแต่ละเครื่องสามารถเข้าถึง Session ของ Account ต่างๆ ภายในเครื่องได้โดยไม่ต้องทราบรหัสผ่านแต่อย่างใด ซึ่งประเด็นนี้ก็ถือเป็นปัญหาหากในระบบมีการแบ่งสิทธิ์ผู้ใช้งานต่างๆ กันเอาไว้ ก็ทำให้คนที่สามารถเข้าถึงสิทธิ์ Admin นั้นสามารถเข้าถึง Session ของพนักงานแผนกต่างๆ ที่ Login ทิ้งเอาไว้ได้ทันที

อย่างไรก็ดี กรณีนี้ก็ถือว่าซับซ้อนอยู่เหมือนกันเพราะในมุมของผู้พัฒนาระบบปฏิบัติการเองนั้น การที่ผู้ดูแลระบบจะมีสิทธิ์สูงสุดและเข้าถึง Session ของผู้ใช้งานคนอื่นๆ ได้นั้นก็อาจเป็นสิ่งที่ถูกต้องอยู่แล้ว แต่ในมุมด้านความปลอดภัยนั้นก็อาจมองได้จากอีกมุม

 

ที่มา: https://www.bleepingcomputer.com/news/security/new-but-old-technique-hijacks-user-sessions-on-all-windows-versions/