พบช่องโหว่ Zero-day ใหม่ที่ทำให้ผู้ไม่หวังดีสามารถขโมยข้อมูล NTLM credentials ได้ โดยการหลอกให้เป้าหมายเปิดไฟล์อันตรายใน Windows Explorer
ช่องโหว่ดังกล่าวถูกพบโดยทีม 0patch ซึ่งเป็นแพลตฟอร์มที่ให้การสนับสนุนอย่างไม่เป็นทางการสำหรับ Windows เวอร์ชันที่สิ้นสุดการสนับสนุน และได้รายงานให้ Microsoft ทราบแล้ว อย่างไรก็ตาม ยังไม่มีการออกแพตช์อย่างเป็นทางการในขณะนี้
ตามข้อมูลจากทีม 0patch ช่องโหว่นี้ยังไม่มีหมายเลข CVE และส่งผลกระทบกับ Windows ทุกเวอร์ชัน ตั้งแต่ Windows 7 และ Server 2008 R2 ไปจนถึง Windows 11 24H2 และ Server 2022 เวอร์ชันล่าสุด
ช่องโหว่แบบไม่ต้องมีการคลิก
ทีม 0patch ได้ระงับการเปิดเผยรายละเอียดทางเทคนิคของช่องโหว่ Zero-day จนกว่า Microsoft จะออกแพตช์อย่างเป็นทางการ เพื่อป้องกันการนำไปใช้ในการโจมตีเพิ่มเติม
นักวิจัยอธิบายว่า การโจมตีนี้ดำเนินการได้โดยแค่เพียง view ไฟล์อันตรายที่ถูกออกแบบมาเป็นพิเศษใน File Explorer เท่านั้น ไม่จำเป็นต้องมีการเปิดไฟล์
"ช่องโหว่นี้ช่วยให้ผู้ไม่หวังดีสามารถขโมยข้อมูล NTLM credentials ของผู้ใช้งานได้ เพียงแค่ผู้ใช้งาน view ไฟล์อันตรายใน Windows Explorer เท่านั้น เช่น การเปิดโฟลเดอร์ที่แชร์ หรือ USB disk ที่มีไฟล์ดังกล่าว หรือดูโฟลเดอร์ Downloads ที่ไฟล์ถูกดาวน์โหลดอัตโนมัติจากหน้าเว็บของผู้ไม่หวังดี" ทีม 0patch อธิบาย
แม้ว่าทีม 0patch จะไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ แต่ BleepingComputer เข้าใจว่าช่องโหว่นี้บังคับให้ Windows สร้างการเชื่อมต่อ NTLM ออกไปยัง remote share ซึ่งจะทำให้ Windows ส่ง NTLM hashes ให้กับผู้ใช้งานโดยอัตโนมัติ และผู้ไม่หวังดีสามารถขโมยข้อมูลเหล่านี้ได้
จากรายงานที่ผ่านมาหลายครั้งพบว่า NTLM hashes สามารถถูกถอดรหัสได้ ทำให้ผู้ไม่หวังดีสามารถเข้าถึงชื่อผู้ใช้งาน และรหัสผ่านในรูปแบบ plaintext ได้ โดย Microsoft ได้ประกาศแผนการที่จะยุติการใช้งานโปรโตคอล NTLM บน Windows 11 ในอนาคต
ทีม 0patch ระบุว่า เหตุการณ์นี้เป็นช่องโหว่ Zero-day ครั้งที่สามที่พวกเขารายงานให้ Microsoft ทราบเมื่อเร็ว ๆ นี้ ซึ่ง Microsoft ยังไม่ได้ดำเนินการแก้ไขอย่างเร่งด่วน
ช่องโหว่อีกสองรายการที่ยังไม่ได้รับการแก้ไข ได้แก่ Mark of the Web (MotW) bypass บน Windows Server 2012 ซึ่งถูกเปิดเผยเมื่อปลายเดือนที่ผ่านมา และช่องโหว่ใน Windows Themes ที่ทำให้สามารถขโมยข้อมูล NTLM credentials จากระยะไกล ซึ่งเปิดเผยเมื่อปลายเดือนตุลาคม ซึ่งทั้งสองช่องโหว่ยังคงไม่ได้รับการแก้ไข
ทีม 0patch ระบุว่า ช่องโหว่ในช่วงที่ผ่านมาเกี่ยวกับการเปิดเผย NTLM hash เช่น PetitPotam, PrinterBug/SpoolSample, และ DFSCoerce ยังคงไม่มีการแก้ไขอย่างเป็นทางการในเวอร์ชันล่าสุดของ Windows ทำให้ผู้ใช้งานมีทางเลือกเพียงแค่ใช้ไมโครแพตช์ที่ได้รับจาก 0patch เท่านั้น
ไมโครแพตช์ฟรี
ทีม 0patch จะให้ไมโครแพตช์ฟรีสำหรับช่องโหว่ NTLM zero-day ล่าสุด แก่ผู้ใช้งานทุกคนที่ลงทะเบียนในแพลตฟอร์มของตนจนกว่า Microsoft จะออกแพตช์อย่างเป็นทางการ
บัญชี PRO และ Enterprise ได้รับไมโครแพตช์ด้านความปลอดภัยโดยอัตโนมัติแล้ว เว้นแต่การตั้งค่าเกี่ยวกับการป้องกันไม่ให้ทำการติดตั้ง
หากต้องการรับไมโครแพตช์ที่ไม่เป็นทางการนี้ ให้สร้างบัญชีฟรีที่ 0patch Central และเริ่มทดลองใช้งานฟรี จากนั้นติดตั้งตัวเอเจนต์ และอนุญาตให้ติดตั้งไมโครแพตช์ที่เหมาะสมโดยอัตโนมัติ โดยไม่ต้องรีบูตเครื่อง
ผู้ใช้งานที่ไม่ต้องการติดตั้งไมโครแพตช์จาก 0patch สามารถพิจารณาปิดการใช้งาน NTLM authentication ด้วยการตั้งค่า Group Policy ใน 'Security Settings > Local Policies > Security Options' และกำหนด policy "Network security: Restrict NTLM" ซึ่งสามารถทำได้เช่นกันผ่านการปรับแต่งในรีจิสทรี
หมายเหตุ: หลังจากการเผยแพร่ ผู้ดูแลระบบให้ข้อมูลกับ BleepingComputer ว่า การตั้งค่าการลดผลกระทบที่ได้แนะนำ อาจทำให้เกิดการรบกวนการทำงานของ NTLM networking ดังนั้น ควรเปิดใช้งานการตั้งค่านี้หลังจากทดสอบกับอุปกรณ์ที่ไม่สำคัญเพื่อดูผลกระทบที่อาจเกิดขึ้น
อัปเดตวันที่ 7 ธันวาคม 2024
Microsoft ได้แสดงความคิดเห็นตอบกลับทาง BleepingComputer ว่า "บริษัทกำลังตรวจสอบรายงานนี้ และจะดำเนินการตามที่จำเป็นเพื่อช่วยป้องกันลูกค้า"
ที่มา : bleepingcomputer
You must be logged in to post a comment.