TTT 2025 Events

พบฟีเจอร์ SubDoc ของ Microsoft Word สามารถใช้ขโมย Windows Credential ได้

January 8, 2018 Application Security, Cybersecurity, Microsoft, Products, Vulnerability and Risk Management

นักวิจัยด้านความมั่นคงปลอดภัยจาก Rhino Labs ผู้ให้คำปรึกษาด้านความมั่งคงปลอดภัยด้านไซเบอร์ได้ค้นพบการใช้ฟีเจอร์หนึ่งของ Word ที่ชื่อ subDoc เพื่อหลอกให้เครื่องเหยื่อส่งค่า NTLM Hash มาให้ (ฟอร์แมตมาตรฐานที่เก็บค่า Credential ผู้ใช้) 

SubDoc เป็นฟีเจอร์หนึ่งที่ออกแบบมาให้ทำการโหลดเอกสารย่อยเข้าไปยังเอกสารตัวหลักได้ ซึ่งผู้ใช้สามารถทำการโหลดเอกสารจากภายนอกผ่านอินเทอร์เน็ตเข้ามาได้ จึงเป็นสาเหตุให้มันถูกนำไปใช้ในทางที่ไม่ดี เช่น แฮ็กเกอร์สร้างเอกสารอันตรายที่ใช้ฟีเจอร์ subDoc โดยตั้งใจให้เกิดกระบวนการพิสูจน์ตัวตนของ Windows แบบปกติขึ้นมาและหลอกล่อให้ผู้ใช้เปิดเอกสาร หากผู้ใช้หลงเชื่อและเปิดเอกสาร แฮ็กเกอร์จะสามารถเก็บค่า Hash ในขั้นตอนพิสูจน์ตัวตนนำไปสู่เทคนิคที่เรียกว่า ‘NTLM pass-the-hash-attack‘ หรือ การใช้ค่า Hash ในการพิสูจน์ตัวตนกับเซิร์ฟเวอร์หรือบริการแทนที่จะใช้รหัสผ่านแบบ Plaintext

สิ่งที่ Rhino Labs ทดลองคือได้สร้างเอกสารซึ่งมีการเปิด subDoc จากภายนอกผ่าน UNC path (เช่น \\\\servername\\sharename\\directory\\ ) ซึ่งชี้ไปยังปลายที่ต้องการ (สมมติว่าปลายทางนี้คือเครื่องแฮ็กเกอร์ที่ตั้งขึ้นมาเองหรือเข้าควบคุมได้แล้ว) โดยฝั่งปลายทางมีการติดตั้ง Responder (มีตัวอย่างโค้ดบน Github) เพื่อรับการร้องขอ SMB จากเครื่องเหยื่อและเก็บค่า Hash ของ NTLMv2 (โปรโตคอลพิสูจน์ตัวตนของ Windows) หลังจากนั้นแฮ็กเกอร์สามารถนำค่า NTLM Hash ที่ได้มาซึ่งภายในมี Credential ของผู้ใช้ไป Crack ได้ด้วยเครื่องมือออนไลน์ทำให้ได้รับ Credential จริงของผู้ใช้ต่อไป

นักวิจัยยังกล่าวว่าเมื่อเอกสารถูกเปิดขึ้น subDoc จะโหลดโดยอัตโนมัติแต่แทนที่จะโชว์เอกสารมันจะแสดงลิ้งค์แทน โดยผู้ใช้งานไม่ต้องทำอะไรกับลิ้งค์นั้นกระบวนการ Execute ก็เกิดขึ้นเอง ด้วยเหตุนี้แฮ็กเกอร์สามารถซ่อนลิ้งค์ดังกล่าวจากเหยื่อได้ด้วยเช่นกัน ดังนั้นผู้ใช้งานจะไม่เห็นอะไรที่น่าสงสัยเลย นอกจากนี้ Antivirus ไม่สามารถตรวจจับการโจมตีได้อีกด้วยเพราะฟีเจอร์ subDoc ไม่เคยถูกจดจำว่าเป็นส่วนหนึ่งของพฤติกรรมที่เป็นอันตราย “Office ยังมีฟีเจอร์อีกมากมายที่ยังไม่ถูกค้นพบว่าสามารถใช้งานในทางที่ผิดได้ ช่องโหว่เหล่านี้กำลังรอการพิสูจน์และยิ่งทำให้การป้องกันระบบนั้นยากขึ้นไปอีก“–Hector Monsegur หนึ่งในทีมงานวิจัยกล่าวปิดท้าย

ที่มา : http://www.securityweek.com/microsoft-word-subdoc-feature-allows-password-theft และ https://www.bleepingcomputer.com/news/security/microsoft-word-subdoc-feature-abused-to-steal-windows-credentials/

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

OpenAI เปิดตัวโมเดล Audio รุ่นใหม่สำหรับพัฒนา Voice Agent อัจฉริยะ

OpenAI ประกาศเปิดตัวโมเดล Audio รุ่นใหม่ที่มีประสิทธิภาพสูงทั้ง Speech-to-Text และ Text-to-Speech พร้อมให้นักพัฒนาทั่วโลกใช้งานผ่าน API เพื่อสร้าง Voice Agent ที่มีความสามารถในการโต้ตอบอย่างเป็นธรรมชาติ

NB-IoT คืออะไร?

NB-IoT คงเป็นศัพท์ที่หลายท่านได้เห็นในทางเลือกของการเชื่อมต่อระยะไกลของอุปกรณ์ IoT และเชื่อว่าหลายคนก็ยังไม่เข้าใจเช่นกันว่า เหตุใดการโปรโมตบริการ NB-IoT จึงผ่านมาทางผู้ให้บริการมือถือรายใหญ่ ในบทความนี้เราจะมาอธิบายความหมายของ Narrowband IoT ให้รู้จักกันชัดๆ

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand