IBM Flashsystem

นักวิจัยพบสามารถใช้ไฟล์ PDF ขโมย Credentials ของ Windows ได้

นาย Assaf Baharav นักวิจัยด้านความมั่นคงปลอดภัยจาก Checkpoint ได้เปิดเผยว่าสามารถใช้ไฟล์ PDF เพื่อขโมย Windows Credentials ของผู้ใช้งานได้โดยไม่ต้องมี interaction จากผู้ใช้เพียงแค่เปิดไฟล์เท่านั้น

Baharav ได้ออกรายงานที่เผยถึงการนำฟีเจอร์มาตรฐานของ PDF มาใช้ในการขโมยค่า NTLM Hash ของผู้ใช้งาน โดยนักวิจัยได้กล่าวว่า “ข้อระบุของ PDF ได้อนุญาตให้ทำการโหลด Content จากทางไกลได้ด้วยฟังก์ชัน GoToE (embbeded go-to ) และ GoToR” ในงานวิจัยที่ Baharav ทดสอบคือสร้างเอกสาร PDF ที่ใช้งาน 2 ฟังก์ชันนี้ เมื่อมีการเปิดไฟล์ PDF มันจะส่งการร้องขอไปยัง SMB Server ที่เป็นอันตรายโดยอัตโนมัติ ซึ่งปกติแล้วการร้องขอผ่าน SMB จะมีค่า NTLM Hash และถูกบันทึกใน Log ของเซิร์ฟเวอร์ SMB อีกทั้งยังมีเครื่องมือที่สามารถแตกค่า Hash นี้และกู้คืนเป็นรหัสผ่านได้

โดยการโจมตีในลักษณะนี้มีให้เห็นมาแล้วกับการใช้งานเอกสาร Office, Outlook หรือการแชร์โฟลเดอร์ อย่างไรก็ตามทางนักวิจัยเลือกทดสอบกับตัวอ่าน PDF ชื่อดัง เช่น Adobe Acrobat และ FoxIT Reader และแจ้งเตือนไปแล้วแต่ FoxIT ก็เงียบไป ส่วนของ Adobe ก็เลือกที่จะไม่แก้ไขซอฟต์แวร์และโยนไปให้ทำตามคำแนะนำของ Microsoft (ADV170014) ที่บอกเกี่ยวกับกลไลและคำสั่งเชิงเทคนิคถึงวิธีการ Disable การพิสูจน์ตัวตนบน Windows ด้วย NTLM SSO เพื่อป้องกันไม่ให้เกิดการขโมย NTLM Hash ระหว่างทางการเรียก SMB ไปยังเซิร์ฟเวอร์ภายนอก นอกจากนี้ Baharav คาดว่าตัวอ่าน PDF เจ้าอื่นๆ ที่ไม่ได้ทดสอบน่าจะมีช่องโหว่นี้เช่นเดียวกัน

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Meta ลดตำแหน่งงาน Reality Labs

Meta Platforms กำลังดำเนินการลดตำแหน่งงานใน Reality Labs ซึ่งเป็นหน่วยงานที่รับผิดชอบการผลิตชุดหูฟัง Quest สำหรับเทคโนโลยีผสมผสานโลกจริงและเสมือน (mixed reality) รวมถึงซอฟต์แวร์ที่ใช้ควบคุมอุปกรณ์ดังกล่าว

AWS DMS Serverless เพิ่มฟีเจอร์ Storage Scaling ปรับความจุเก็บข้อมูลได้อัตโนมัติ

กลางสัปดาห์ที่ผ่านมา Amazon Web Services (AWS) ได้ประกาศเพิ่มฟีเจอร์ Storage Scaling ใน AWS Database Migration Service Serverless (AWS …