พบฟีเจอร์ SubDoc ของ Microsoft Word สามารถใช้ขโมย Windows Credential ได้

January 8, 2018 Application Security, Cybersecurity, Microsoft, Products, Vulnerability and Risk Management

นักวิจัยด้านความมั่นคงปลอดภัยจาก Rhino Labs ผู้ให้คำปรึกษาด้านความมั่งคงปลอดภัยด้านไซเบอร์ได้ค้นพบการใช้ฟีเจอร์หนึ่งของ Word ที่ชื่อ subDoc เพื่อหลอกให้เครื่องเหยื่อส่งค่า NTLM Hash มาให้ (ฟอร์แมตมาตรฐานที่เก็บค่า Credential ผู้ใช้) 

SubDoc เป็นฟีเจอร์หนึ่งที่ออกแบบมาให้ทำการโหลดเอกสารย่อยเข้าไปยังเอกสารตัวหลักได้ ซึ่งผู้ใช้สามารถทำการโหลดเอกสารจากภายนอกผ่านอินเทอร์เน็ตเข้ามาได้ จึงเป็นสาเหตุให้มันถูกนำไปใช้ในทางที่ไม่ดี เช่น แฮ็กเกอร์สร้างเอกสารอันตรายที่ใช้ฟีเจอร์ subDoc โดยตั้งใจให้เกิดกระบวนการพิสูจน์ตัวตนของ Windows แบบปกติขึ้นมาและหลอกล่อให้ผู้ใช้เปิดเอกสาร หากผู้ใช้หลงเชื่อและเปิดเอกสาร แฮ็กเกอร์จะสามารถเก็บค่า Hash ในขั้นตอนพิสูจน์ตัวตนนำไปสู่เทคนิคที่เรียกว่า ‘NTLM pass-the-hash-attack‘ หรือ การใช้ค่า Hash ในการพิสูจน์ตัวตนกับเซิร์ฟเวอร์หรือบริการแทนที่จะใช้รหัสผ่านแบบ Plaintext

สิ่งที่ Rhino Labs ทดลองคือได้สร้างเอกสารซึ่งมีการเปิด subDoc จากภายนอกผ่าน UNC path (เช่น \\\\servername\\sharename\\directory\\ ) ซึ่งชี้ไปยังปลายที่ต้องการ (สมมติว่าปลายทางนี้คือเครื่องแฮ็กเกอร์ที่ตั้งขึ้นมาเองหรือเข้าควบคุมได้แล้ว) โดยฝั่งปลายทางมีการติดตั้ง Responder (มีตัวอย่างโค้ดบน Github) เพื่อรับการร้องขอ SMB จากเครื่องเหยื่อและเก็บค่า Hash ของ NTLMv2 (โปรโตคอลพิสูจน์ตัวตนของ Windows) หลังจากนั้นแฮ็กเกอร์สามารถนำค่า NTLM Hash ที่ได้มาซึ่งภายในมี Credential ของผู้ใช้ไป Crack ได้ด้วยเครื่องมือออนไลน์ทำให้ได้รับ Credential จริงของผู้ใช้ต่อไป

นักวิจัยยังกล่าวว่าเมื่อเอกสารถูกเปิดขึ้น subDoc จะโหลดโดยอัตโนมัติแต่แทนที่จะโชว์เอกสารมันจะแสดงลิ้งค์แทน โดยผู้ใช้งานไม่ต้องทำอะไรกับลิ้งค์นั้นกระบวนการ Execute ก็เกิดขึ้นเอง ด้วยเหตุนี้แฮ็กเกอร์สามารถซ่อนลิ้งค์ดังกล่าวจากเหยื่อได้ด้วยเช่นกัน ดังนั้นผู้ใช้งานจะไม่เห็นอะไรที่น่าสงสัยเลย นอกจากนี้ Antivirus ไม่สามารถตรวจจับการโจมตีได้อีกด้วยเพราะฟีเจอร์ subDoc ไม่เคยถูกจดจำว่าเป็นส่วนหนึ่งของพฤติกรรมที่เป็นอันตราย “Office ยังมีฟีเจอร์อีกมากมายที่ยังไม่ถูกค้นพบว่าสามารถใช้งานในทางที่ผิดได้ ช่องโหว่เหล่านี้กำลังรอการพิสูจน์และยิ่งทำให้การป้องกันระบบนั้นยากขึ้นไปอีก“–Hector Monsegur หนึ่งในทีมงานวิจัยกล่าวปิดท้าย

ที่มา : http://www.securityweek.com/microsoft-word-subdoc-feature-allows-password-theft และ https://www.bleepingcomputer.com/news/security/microsoft-word-subdoc-feature-abused-to-steal-windows-credentials/

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Huawei เปิดตัวสถาปัตยกรรมชิปใหม่ แก้ปัญหาคว่ำบาตรและข้อจำกัด Moore’s Law

Huawei Technologies ยักษ์ใหญ่ด้านอิเล็กทรอนิกส์จากจีนได้เปิดตัวเฟรมเวิร์กการออกแบบชิปใหม่ ซึ่งบริษัทระบุว่าจะช่วยลดช่องว่างในอุตสาหกรรมเซมิคอนดักเตอร์กับผู้นำระดับโลกอย่าง TSMC และ Nvidia ได้

AIS Business เปิดตัว AIS Quantum-Safe Networks ปูทางธุรกิจปกป้องข้อมูล เตรียมรับมือการมาของ Quantum Computer ได้แล้ววันนี้

ในปี 2025 ที่ผ่านมา หนึ่งในหัวข้อด้าน Cybersecurity ที่ถูกพูดถึงกันอย่างเนืองแน่นนั้นก็คือเรื่องของ Quantum Safe ที่ว่าด้วยการเตรียมความพร้อมของระบบ IT Infrastructure ให้ปลอดภัยจากความเสี่ยงที่ข้อมูลซึ่งถูกเข้ารหัสเอาไว้ อาจจะถูก Quantum Computer …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand