เตือนช่องโหว่บน Windows แฮ็คเกอร์สามารถขโมย Login Credential ได้โดยไม่ต้องมีปฏิสัมพันธ์กับผู้ใช้

Microsoft ออกมาแจ้งเตือนถึงช่องโหว่บนระบบปฏิบัติการ Window ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมย NTLM Password Hash ได้โดยไม่ต้องมีปฏิสัมพันธ์ใดๆ โดยช่องโหว่นี้ส่งผลกระทบไม่เว้นแม้แต่ Windows 10 และ Windows Server 2016 แนะนำให้ผู้ใช้รีบอัปเดตแพทช์ล่าสุดทันที

Credit: alexmillos/ShutterStock

การเจาะระบบครั้งนี้ไม้ได้ยากเท่าไหร่นักเพียงแค่นำ .SCF (Shell Command File) ที่ถูกสร้างมาเป็นพิเศษไปวางไว้โฟล์เดอร์ที่เปิดให้เข้าถึงแบบสาธารณะ จากนั้นคำสั่งที่อยู่ภายในไฟล์ SCF จะถูกรันและข้อมูล NTLM Password Hash ภายในเครื่องของเหยื่อก็จะถูกส่งกลับไปยังเครื่องปลายทางของแฮ็กเกอร์ทันทีโดยที่ไม่ต้องมีปฏิสัมพันธ์ใดๆ กับผู้ใช้ ซึ่งแฮ็คเกอร์สามารถแคร็กรหัสผ่าน NTLM ที่ได้รับและยกระดับการเข้าถึงคอมพิวเตอร์ต่อไป

ไม่ใช่ทุกเครื่องที่ตกเป็นเหยื่อ

คอมพิวเตอร์ที่ใช้งานรหัสผ่านป้องกันการแชร์โฟลเดอร์นั้นปลอดภัยและผู้ใช้งานที่ไม่ได้มีการปรับเปลี่ยนค่าเริ่มต้นของ Window ก็ไม่ได้รับผลกระทบเช่นกัน อีกด้านหนึ่งสภาพแวดล้อมอย่าง โรงเรียน หรือ เครือข่ายสาธรณะที่มักจะมีการใช้งานแชร์โฟลเดอร์บ่อยครั้งโดยปราศจากรหัสผ่านอาจจะทำให้ตกเป็นเหยื่อการโจมตีนี้ได้

แพตซ์ออกมาสำหรับแค่ Window 10 และ Window Server 2016 เท่านั้น

ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยสัญชาติโคลัมเบียอย่าง Juan Diago ซึ่งรายงานต่อ Microsoft เมื่อเดือนเมษายน และ Microsoft ได้ออกแพตซ์ประจำเดือนที่ผ่านมา ADV170014 ในหัวข้อ Security Advisor สำหรับผู้ใช้งาน Window10 และ Window Server 2016 เท่านั้น ดังนั้น Windows ในเวอร์ชันก่อนหน้านี้ยังคงมีช่องโหว่นี้อยู่เนื่องจาก Windows Firewall ยังไม่รองรับการแก้ไข Registry ในแพตช์นี้

สาเหตุการโจมตียังคงเป็นปริศนา

Diago กล่าวถึง ADV170014 กับ Bleeping Computer ว่า “ผมไม่สามารถอธิบายได้ว่าทำไม Bug ถึงเกิดขึ้น ทั้งๆที่ .SCF เป็นไฟล์ที่สนับสนุนคำสั่งของ Window Explorer อย่างจำกัด เช่น เปิดหน้าต่าง Window Explorer หรือแสดงหน้าจอ การใช้งานพวก Show Desktop Shortcut ที่เราใช้งานกันปกติก็เป็นความสามารถของ .SCF ไฟล์เช่นเดียวกัน ก่อนหน้านี่เคยมีการช่องโหว่เกี่ยวกับ .SCF ไฟล์ โดยครั้งนั้นต้องให้ผู้ใช้เข้าไปโฟลเดอร์นั้นเสียก่อน แต่ช่องโหว่คราวนี้เพียงแค่แฮ็กเกอร์วางไฟล์ .SCF ที่อันตรายเข้าไปในโฟลเดอร์ .SCF ไฟล์ก็สามารถทำงานเองได้โดยไม่ต้องรอผู้ใช้เข้ามาดูไฟล์นี่มันลึกลับมาก ผมว่า Microsoft จะต้องเก็บเรื่องนี้ไว้เป็นความลับอย่างแน่นอน

แพตซ์จาก Microsoft ทำเพื่อแก้ปัญหา

Microsoft ไม่ได้แก้ช่องโหว่การรัน SCF อัตโนมัตินี้อย่างแท้จริง โดยแพตซ์ที่ออกมาใช้แก้ปัญหาเดิมๆ ที่ pass-the-hash เพื่อแก้ให้หยุดแชร์ NTLM Hashes ไปยังเซิร์ฟเวอร์นอกเครือข่ายเท่านั้น เหมือนที่เคยเกิดขึ้นในการเจาะเครือข่ายก่อนหน้าด้วย Chrome และ SCF ไฟล์เพื่อขโมย Credential ของผู้ใช้งาน  กรณี Bug ที่คล้ายกันกับ Diago จากนักวิจัยชาวเยอรมัน Stefan Kanthak ก็ยังไม่ได้รับการแก้ไขโดย Kanthak บอก Bleeping ผ่านอีเมลว่า “Microsoft ทำงานได้แย่มากการอัพเดตในเดือนนี้ทำได้เพียงแก้ 2 ใน 6 ข้อบกพร่องเท่านั้นจากที่ผมแจ้งไปและยังแนะนำว่ามีอีกหลายทางที่จะเจาะช่องโหว่ pass-to-hash ได้” นอกจากนั้น Diago เองยังกล่าวเพิ่มว่า “ผมกำลังหาวิธีอื่นที่จะเจาะช่องโหว่ที่ผมรายงานไปนี้

อย่างไรก็ตาม ADV170014 ไม้ใช้แพตซ์ตัวหลักแต่ก็แนะนำให้ผู้ใช้งานทำการอัพเดตแพตซ์อย่างที่ Diago ได้ยืนยันว่าน่าจะยังมีช่องโหว่อื่นๆ แบบ pass-to-hash เกิดขึ้นได้อยู่

ที่มา : https://www.bleepingcomputer.com/news/security/hackers-can-steal-windows-login-credentials-without-user-interaction/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco Talos เผย 3 กลุ่มแฮ็กเกอร์ที่มุ่งเจาะบริการระดับองค์กรเพื่อทำ Cryptomining

Cisco Talos ได้ทำรายงานศึกษาเจาะลึกถึงกลุ่มอาชญากรทางไซเบอร์ที่มุ่งเน้นเจาะระบบบริการระดับองค์ เช่น Jenkins, Hadoop, Jboss และ Struts2 เพื่อทำการแอบขุดเหมืองเงินดิจิทัล โดยแบ่งเป็น 3 กลุ่มหลักคือ Rocke, 8220 …

10 อันดับเหตุการณ์ Password FAILS ประจำปี 2018

รหัสผ่านถือเป็นเครื่องมือสำคัญที่ใช้ยืนยันตัวตนของผู้ใช้ รหัสผ่านที่ดีจึงควรถูกตั้งค่าให้มีความแข็งแกร่งและจัดเก็บให้เป็นอย่างดี บทความนี้ได้รวบรวมเหตุการณ์ความล้มเหลวของการใช้รหัสผ่านประจำปี 2018 ทั้งหมด 10 เหตุการณ์จากทั่วโลก สำหรับเป็นอุทาหรณ์และไม่ควรนำไปใช้เป็นเยี่ยงอย่าง ดังนี้