ฟีเจอร์ Windows 10 Theme สามารถทำให้ผู้ประสงค์ร้ายขโมยรหัสผ่านล็อกอิน Windows ได้

Windows 10

Jimmy Bayne นักวิจัยด้านความปลอดภัยจาก Weekend Security ได้เปิดเผยถึงการโจมตีแบบ Pass-the-Hash โดยการใช้ Windows Theme ที่ออกแบบมาเป็นพิเศษซึ่งจะทำให้ผู้โจมตีสามารถขโมยข้อมูล Credential และสามารถเข้าสู่ระบบ Windows ได้

เทคนิคการโจมตีแบบ Pass-the-Hash นั้นจะใช้เพื่อทำการขโมยข้อมูลบัญชีผู้ใช้และแฮชรหัสผ่านของ Windows โดยหลอกให้ผู้ใช้เข้าถึง SMB share จากระยะไกลที่ต้องมีการตรวจสอบสิทธิ์ เมื่อมีการพยายาม Remote เพื่อเข้าถึง Windows จะเข้าสู่ระบบโดยอัตโนมัติ โดยจะส่งชื่อบัญชีล็อกอินของผู้ใช้ Windows และแฮช NTLM ของรหัสผ่านกลับไปและจะทำให้ผู้โจมตีสามารถรวบรวมข้อมูล Credential และสามารถเข้าสู่ระบบ Windows ได้

เพื่อเป็นการป้องกันไฟล์ Theme ที่เป็นอันตราย Bayne ได้แนะนำให้ผู้ใช้ทำการปิดส่วนที่เกี่ยวข้องกับ Extensions ของ theme เช่น .theme, .themepack และ .desktopthemepackfile และโปรแกรมอื่นๆที่เกี่ยวข้อง ซึ่งการปิดส่วนนี้จะทำให้ฟีเจอร์ Windows 10 Themes ไม่สามาารถใช้งานได้ผู้ใช้ต้องทำการพิจารณาในการปิดใช้งานฟีเจอร์นี้ ทั้งนี้ผู้ใช้ Windows สามารถกำหนดค่า group policy ที่ชื่อ ‘Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers’ และตั้งค่าเป็น ' Deny All ' เพื่อป้องกันไม่ให้ส่ง NTLM Credential ไปยัง Remote host และเพื่อป้องกันการรั่วไหลของ Credential บัญชีผู้ใช้

ที่มา: bleepingcomputer.com