ผู้เชี่ยวชาญพบสามารถใช้ Themes บน Windows 10 หลอกขโมยรหัสผ่าน Windows ได้

Jimmy Bayne ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้เปิดเผยว่าพบวิธีการใช้ Theme บน Windows 10 ไปหลอกขโมย Hash Password ของเหยื่อได้

ไฟล์ธีม (Themes) บน Windows 10 (ตามภาพประกอบด้านบน) สามารถถูกปรับแต่งขึ้นเองได้ ซึ่งจะเก็บอยู่ใน ‘%AppData%\Microsoft\Windows\Themes’ ทั้งนี้ผู้มีไอเดียสร้างสรรค์สามารถสร้างธีมของตนและแชร์ให้ผู้อื่นผ่านช่องทางไหนก็ได้ด้วยไฟล์ ‘.deskthemepack’ โดยฝั่งผู้รับเพียงแค่ดับเบิ้ลคลิกเพื่อติดตั้งธีมนั้นต่อไป

วิธีการโจมตีแบบ Pass-the-hash มีวัตถุประสงค์เพื่อเก็บชื่อล็อกอินและรหัสผ่านที่ถูก Hash เอาไว้ เพียงแค่หลอกให้เหยื่อเข้าไปในการแชร์ SMB ที่ต้องการพิสูจน์ตัวตน โดย Windows จะทำการล็อกอินอัตโนมัติไปยัง SMB ด้วย ชื่อล็อกอินและ NTLM Hash password

อย่างไรก็ดีนักวิจัยพบว่าสามารถสร้างธีมที่ชี้ไปยังทรัพยากรภายนอกที่ติดการพิสูจน์ตัวตนได้ และส่งไปให้เหยื่อเพื่อเปิดธีมดังกล่าว ด้วยเหตุนี้เองแฮ็กเกอร์ก็แค่รอให้ Windows ส่ง Credentials และเก็บข้อมูลเหล่านั้นไว้ แม้ว่า Bayne จะแจ้งแก่ทีมงานของ Microsoft แล้วตั้งแต่ต้นปี แต่ก็น่าผิดหวังกับคำตอบที่ว่าไม่สามารถแก้ได้เพราะเป็นฟีเจอร์ของการออกแบบ

วิธีการป้องกันมีทางเลือกดังนี้

  • บล็อกหรือเปลี่ยนความเชื่อมโยงของไฟล์ต่างๆ ที่นามสกุล .theme, .themepack และ .desktopthemepack ไปยังโปรแกรมอื่น แต่วิธีการนี้ผู้ใช้งานจะไม่สามารถเปลี่ยนธีมอื่นได้อีก
  • ไปบล็อกการส่ง NTLM อัตโนมัติใน Group Policy ที่  ‘Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers’ แต่อาจขัดแย้งในการใช้งานระดับองค์กร
  • เพิ่ม Multi-factor Authentication กับ Microsoft Account เพื่อเพิ่มการป้องกันอีกชั้นหนึ่ง

ที่มา : https://www.bleepingcomputer.com/news/microsoft/windows-10-themes-can-be-abused-to-steal-windows-passwords/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

UiPath เข้าซื้อกิจการ Peak.ai หวังเร่งขยายตัวสู่โซลูชัน Agentic AI

UiPath ได้เปิดเผยกิจกรรมการเข้าซื้อบริษัทสตาร์ทอัปที่ชื่อว่า Peak.ai ในรายงานบริษัทประจำไตรมาส ซึ่งนำเสนอเรื่องของ AI ที่ตัดสินใจได้

Microsoft เปิดตัวความสามารถ Responses API และ Computer-Using Agent ใน Azure AI Foundry

Azure AI Foundry ได้เพิ่มความสามารถใหม่ที่หวังช่วยธุรกิจต้อนรับยุค Agentic AI ได้ในระดับความต้องการระดับองค์กรที่ต้องมีความปลอดภัยและกำกับดูแลได้ ไอเดียก็คือ Azure ได้เพิ่ม API ที่ทำอะไรได้หลายอย่างมากขึ้น จากเดิมที่กว่าเราจะพัฒนาระบบอัตโนมัติให้ทำงานได้ภายใต้ก็อาจมีการใช้ API หรือกลไกมากมาย …