เตือนช่องโหว่บน Windows แฮ็คเกอร์สามารถขโมย Login Credential ได้โดยไม่ต้องมีปฏิสัมพันธ์กับผู้ใช้

Microsoft ออกมาแจ้งเตือนถึงช่องโหว่บนระบบปฏิบัติการ Window ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมย NTLM Password Hash ได้โดยไม่ต้องมีปฏิสัมพันธ์ใดๆ โดยช่องโหว่นี้ส่งผลกระทบไม่เว้นแม้แต่ Windows 10 และ Windows Server 2016 แนะนำให้ผู้ใช้รีบอัปเดตแพทช์ล่าสุดทันที

Credit: alexmillos/ShutterStock

การเจาะระบบครั้งนี้ไม้ได้ยากเท่าไหร่นักเพียงแค่นำ .SCF (Shell Command File) ที่ถูกสร้างมาเป็นพิเศษไปวางไว้โฟล์เดอร์ที่เปิดให้เข้าถึงแบบสาธารณะ จากนั้นคำสั่งที่อยู่ภายในไฟล์ SCF จะถูกรันและข้อมูล NTLM Password Hash ภายในเครื่องของเหยื่อก็จะถูกส่งกลับไปยังเครื่องปลายทางของแฮ็กเกอร์ทันทีโดยที่ไม่ต้องมีปฏิสัมพันธ์ใดๆ กับผู้ใช้ ซึ่งแฮ็คเกอร์สามารถแคร็กรหัสผ่าน NTLM ที่ได้รับและยกระดับการเข้าถึงคอมพิวเตอร์ต่อไป

ไม่ใช่ทุกเครื่องที่ตกเป็นเหยื่อ

คอมพิวเตอร์ที่ใช้งานรหัสผ่านป้องกันการแชร์โฟลเดอร์นั้นปลอดภัยและผู้ใช้งานที่ไม่ได้มีการปรับเปลี่ยนค่าเริ่มต้นของ Window ก็ไม่ได้รับผลกระทบเช่นกัน อีกด้านหนึ่งสภาพแวดล้อมอย่าง โรงเรียน หรือ เครือข่ายสาธรณะที่มักจะมีการใช้งานแชร์โฟลเดอร์บ่อยครั้งโดยปราศจากรหัสผ่านอาจจะทำให้ตกเป็นเหยื่อการโจมตีนี้ได้

แพตซ์ออกมาสำหรับแค่ Window 10 และ Window Server 2016 เท่านั้น

ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยสัญชาติโคลัมเบียอย่าง Juan Diago ซึ่งรายงานต่อ Microsoft เมื่อเดือนเมษายน และ Microsoft ได้ออกแพตซ์ประจำเดือนที่ผ่านมา ADV170014 ในหัวข้อ Security Advisor สำหรับผู้ใช้งาน Window10 และ Window Server 2016 เท่านั้น ดังนั้น Windows ในเวอร์ชันก่อนหน้านี้ยังคงมีช่องโหว่นี้อยู่เนื่องจาก Windows Firewall ยังไม่รองรับการแก้ไข Registry ในแพตช์นี้

สาเหตุการโจมตียังคงเป็นปริศนา

Diago กล่าวถึง ADV170014 กับ Bleeping Computer ว่า “ผมไม่สามารถอธิบายได้ว่าทำไม Bug ถึงเกิดขึ้น ทั้งๆที่ .SCF เป็นไฟล์ที่สนับสนุนคำสั่งของ Window Explorer อย่างจำกัด เช่น เปิดหน้าต่าง Window Explorer หรือแสดงหน้าจอ การใช้งานพวก Show Desktop Shortcut ที่เราใช้งานกันปกติก็เป็นความสามารถของ .SCF ไฟล์เช่นเดียวกัน ก่อนหน้านี่เคยมีการช่องโหว่เกี่ยวกับ .SCF ไฟล์ โดยครั้งนั้นต้องให้ผู้ใช้เข้าไปโฟลเดอร์นั้นเสียก่อน แต่ช่องโหว่คราวนี้เพียงแค่แฮ็กเกอร์วางไฟล์ .SCF ที่อันตรายเข้าไปในโฟลเดอร์ .SCF ไฟล์ก็สามารถทำงานเองได้โดยไม่ต้องรอผู้ใช้เข้ามาดูไฟล์นี่มันลึกลับมาก ผมว่า Microsoft จะต้องเก็บเรื่องนี้ไว้เป็นความลับอย่างแน่นอน

แพตซ์จาก Microsoft ทำเพื่อแก้ปัญหา

Microsoft ไม่ได้แก้ช่องโหว่การรัน SCF อัตโนมัตินี้อย่างแท้จริง โดยแพตซ์ที่ออกมาใช้แก้ปัญหาเดิมๆ ที่ pass-the-hash เพื่อแก้ให้หยุดแชร์ NTLM Hashes ไปยังเซิร์ฟเวอร์นอกเครือข่ายเท่านั้น เหมือนที่เคยเกิดขึ้นในการเจาะเครือข่ายก่อนหน้าด้วย Chrome และ SCF ไฟล์เพื่อขโมย Credential ของผู้ใช้งาน  กรณี Bug ที่คล้ายกันกับ Diago จากนักวิจัยชาวเยอรมัน Stefan Kanthak ก็ยังไม่ได้รับการแก้ไขโดย Kanthak บอก Bleeping ผ่านอีเมลว่า “Microsoft ทำงานได้แย่มากการอัพเดตในเดือนนี้ทำได้เพียงแก้ 2 ใน 6 ข้อบกพร่องเท่านั้นจากที่ผมแจ้งไปและยังแนะนำว่ามีอีกหลายทางที่จะเจาะช่องโหว่ pass-to-hash ได้” นอกจากนั้น Diago เองยังกล่าวเพิ่มว่า “ผมกำลังหาวิธีอื่นที่จะเจาะช่องโหว่ที่ผมรายงานไปนี้

อย่างไรก็ตาม ADV170014 ไม้ใช้แพตซ์ตัวหลักแต่ก็แนะนำให้ผู้ใช้งานทำการอัพเดตแพตซ์อย่างที่ Diago ได้ยืนยันว่าน่าจะยังมีช่องโหว่อื่นๆ แบบ pass-to-hash เกิดขึ้นได้อยู่

ที่มา : https://www.bleepingcomputer.com/news/security/hackers-can-steal-windows-login-credentials-without-user-interaction/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

แนะนำโซลูชันด้าน Security สำหรับ Enterprise ของ Kaspersky Lab

ถ้าพูดถึงซอฟต์แวร์แอนตี้ไวรัส หลายๆ คนคงรู้จักชื่อแคสเปอร์สกี้ แลป (Kaspersky Lab) เป็นอย่างดี หรือสำหรับการใช้งานระดับองค์กร โซลูชัน Endpoint Security ของแคสเปอร์สกี้ แลปก็เป็นตัวเลือกอันดับต้นๆ ที่ทั่วโลกต่างให้การยอมรับ อย่างไรก็ตามแคสเปอร์สกี้ …

คนร้ายใช้เทคนิค ‘ZeroFont’ บายพาสการป้องกันของ O365

Avanan ผู้ให้บริการโซลูชันด้านความปลอดภัยบน Cloud ซึ่งเป็นหนึ่งกลไกการป้องกันอีเมลหลอกลวงหรืออีเมลอันตรายโดยใช้ Natural Langauge Process (NLP) ของ o365 เช่น นักวิจัยจะหาอีเมลที่อ้างถึง Apple หรือ Microsoft …