Microsoft ออกมาแจ้งเตือนถึงช่องโหว่บนระบบปฏิบัติการ Window ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมย NTLM Password Hash ได้โดยไม่ต้องมีปฏิสัมพันธ์ใดๆ โดยช่องโหว่นี้ส่งผลกระทบไม่เว้นแม้แต่ Windows 10 และ Windows Server 2016 แนะนำให้ผู้ใช้รีบอัปเดตแพทช์ล่าสุดทันที
การเจาะระบบครั้งนี้ไม้ได้ยากเท่าไหร่นักเพียงแค่นำ .SCF (Shell Command File) ที่ถูกสร้างมาเป็นพิเศษไปวางไว้โฟล์เดอร์ที่เปิดให้เข้าถึงแบบสาธารณะ จากนั้นคำสั่งที่อยู่ภายในไฟล์ SCF จะถูกรันและข้อมูล NTLM Password Hash ภายในเครื่องของเหยื่อก็จะถูกส่งกลับไปยังเครื่องปลายทางของแฮ็กเกอร์ทันทีโดยที่ไม่ต้องมีปฏิสัมพันธ์ใดๆ กับผู้ใช้ ซึ่งแฮ็คเกอร์สามารถแคร็กรหัสผ่าน NTLM ที่ได้รับและยกระดับการเข้าถึงคอมพิวเตอร์ต่อไป
ไม่ใช่ทุกเครื่องที่ตกเป็นเหยื่อ
แพตซ์ออกมาสำหรับแค่ Window 10 และ Window Server 2016 เท่านั้น
ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยสัญชาติโคลัมเบียอย่าง Juan Diago ซึ่งรายงานต่อ Microsoft เมื่อเดือนเมษายน และ Microsoft ได้ออกแพตซ์ประจำเดือนที่ผ่านมา ADV170014 ในหัวข้อ Security Advisor สำหรับผู้ใช้งาน Window10 และ Window Server 2016 เท่านั้น ดังนั้น Windows ในเวอร์ชันก่อนหน้านี้ยังคงมีช่องโหว่นี้อยู่เนื่องจาก Windows Firewall ยังไม่รองรับการแก้ไข Registry ในแพตช์นี้
สาเหตุการโจมตียังคงเป็นปริศนา
Diago กล่าวถึง ADV170014 กับ Bleeping Computer ว่า “ผมไม่สามารถอธิบายได้ว่าทำไม Bug ถึงเกิดขึ้น ทั้งๆที่ .SCF เป็นไฟล์ที่สนับสนุนคำสั่งของ Window Explorer อย่างจำกัด เช่น เปิดหน้าต่าง Window Explorer หรือแสดงหน้าจอ การใช้งานพวก Show Desktop Shortcut ที่เราใช้งานกันปกติก็เป็นความสามารถของ .SCF ไฟล์เช่นเดียวกัน ก่อนหน้านี่เคยมีการช่องโหว่เกี่ยวกับ .SCF ไฟล์ โดยครั้งนั้นต้องให้ผู้ใช้เข้าไปโฟลเดอร์นั้นเสียก่อน แต่ช่องโหว่คราวนี้เพียงแค่แฮ็กเกอร์วางไฟล์ .SCF ที่อันตรายเข้าไปในโฟลเดอร์ .SCF ไฟล์ก็สามารถทำงานเองได้โดยไม่ต้องรอผู้ใช้เข้ามาดูไฟล์นี่มันลึกลับมาก ผมว่า Microsoft จะต้องเก็บเรื่องนี้ไว้เป็นความลับอย่างแน่นอน”
แพตซ์จาก Microsoft ทำเพื่อแก้ปัญหา
Microsoft ไม่ได้แก้ช่องโหว่การรัน SCF อัตโนมัตินี้อย่างแท้จริง โดยแพตซ์ที่ออกมาใช้แก้ปัญหาเดิมๆ ที่ pass-the-hash เพื่อแก้ให้หยุดแชร์ NTLM Hashes ไปยังเซิร์ฟเวอร์นอกเครือข่ายเท่านั้น เหมือนที่เคยเกิดขึ้นในการเจาะเครือข่ายก่อนหน้าด้วย Chrome และ SCF ไฟล์เพื่อขโมย Credential ของผู้ใช้งาน กรณี Bug ที่คล้ายกันกับ Diago จากนักวิจัยชาวเยอรมัน Stefan Kanthak ก็ยังไม่ได้รับการแก้ไขโดย Kanthak บอก Bleeping ผ่านอีเมลว่า “Microsoft ทำงานได้แย่มากการอัพเดตในเดือนนี้ทำได้เพียงแก้ 2 ใน 6 ข้อบกพร่องเท่านั้นจากที่ผมแจ้งไปและยังแนะนำว่ามีอีกหลายทางที่จะเจาะช่องโหว่ pass-to-hash ได้” นอกจากนั้น Diago เองยังกล่าวเพิ่มว่า “ผมกำลังหาวิธีอื่นที่จะเจาะช่องโหว่ที่ผมรายงานไปนี้”
อย่างไรก็ตาม ADV170014 ไม้ใช้แพตซ์ตัวหลักแต่ก็แนะนำให้ผู้ใช้งานทำการอัพเดตแพตซ์อย่างที่ Diago ได้ยืนยันว่าน่าจะยังมีช่องโหว่อื่นๆ แบบ pass-to-hash เกิดขึ้นได้อยู่