นักวิจัยพบสามารถใช้ไฟล์ PDF ขโมย Credentials ของ Windows ได้

นาย Assaf Baharav นักวิจัยด้านความมั่นคงปลอดภัยจาก Checkpoint ได้เปิดเผยว่าสามารถใช้ไฟล์ PDF เพื่อขโมย Windows Credentials ของผู้ใช้งานได้โดยไม่ต้องมี interaction จากผู้ใช้เพียงแค่เปิดไฟล์เท่านั้น

Baharav ได้ออกรายงานที่เผยถึงการนำฟีเจอร์มาตรฐานของ PDF มาใช้ในการขโมยค่า NTLM Hash ของผู้ใช้งาน โดยนักวิจัยได้กล่าวว่า “ข้อระบุของ PDF ได้อนุญาตให้ทำการโหลด Content จากทางไกลได้ด้วยฟังก์ชัน GoToE (embbeded go-to ) และ GoToR” ในงานวิจัยที่ Baharav ทดสอบคือสร้างเอกสาร PDF ที่ใช้งาน 2 ฟังก์ชันนี้ เมื่อมีการเปิดไฟล์ PDF มันจะส่งการร้องขอไปยัง SMB Server ที่เป็นอันตรายโดยอัตโนมัติ ซึ่งปกติแล้วการร้องขอผ่าน SMB จะมีค่า NTLM Hash และถูกบันทึกใน Log ของเซิร์ฟเวอร์ SMB อีกทั้งยังมีเครื่องมือที่สามารถแตกค่า Hash นี้และกู้คืนเป็นรหัสผ่านได้

โดยการโจมตีในลักษณะนี้มีให้เห็นมาแล้วกับการใช้งานเอกสาร Office, Outlook หรือการแชร์โฟลเดอร์ อย่างไรก็ตามทางนักวิจัยเลือกทดสอบกับตัวอ่าน PDF ชื่อดัง เช่น Adobe Acrobat และ FoxIT Reader และแจ้งเตือนไปแล้วแต่ FoxIT ก็เงียบไป ส่วนของ Adobe ก็เลือกที่จะไม่แก้ไขซอฟต์แวร์และโยนไปให้ทำตามคำแนะนำของ Microsoft (ADV170014) ที่บอกเกี่ยวกับกลไลและคำสั่งเชิงเทคนิคถึงวิธีการ Disable การพิสูจน์ตัวตนบน Windows ด้วย NTLM SSO เพื่อป้องกันไม่ให้เกิดการขโมย NTLM Hash ระหว่างทางการเรียก SMB ไปยังเซิร์ฟเวอร์ภายนอก นอกจากนี้ Baharav คาดว่าตัวอ่าน PDF เจ้าอื่นๆ ที่ไม่ได้ทดสอบน่าจะมีช่องโหว่นี้เช่นเดียวกัน