นักวิจัยด้านความปลอดภัยเปิดเผยรายละเอียดช่องโหว่บน Windows NT LAN Manager ที่ Microsoft เพิ่งทำการแก้ไขช่องโหว่

Yaron Zinar นักวิจัยด้านความปลอดภัยจากบริษัท Preempt ได้เปิดเผยถึงรายละเอียดของช่องโหว่ใน Windows NT LAN Manager (NTLM) ที่ Microsoft ได้ทำการแก้ไขช่องโหว่ดังกล่าวแล้วในการอัปเดตความปลอดภัยประจำเดือนหรือ Patch Tuesday เมื่อต้นเดือนที่ผ่านมา

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2021-1678 (CVSSv3: 4.3/10) ซึ่งช่องโหว่ดังกล่าวได้รับการอธิบายจาก Microsoft ว่าเป็นช่องโหว่ที่สามารถ Bypass ฟีเจอร์ความปลอดภัยของ Windows NT LAN Manager (NTLM) โดยช่องโหว่ดังกล่าวอยู่ใน IRemoteWinSpool MSRPC interface ซึ่งเป็นอินเทอร์เฟซสำหรับ Printer Remote Procedure Call (RPC) ที่ออกแบบมาสำหรับการจัดการตัวจัดคิวของเครื่องพิมพ์เอกสารจากระยะไกล ซึ่งช่องโหว่จะทำให้ผู้โจมตีสามารถรีเลย์เซสชันการตรวจสอบสิทธิ์ NTLM ไปยังเครื่องที่ถูกโจมตีและใช้ MSRPC interface ของ Printer spooler เพื่อเรียกใช้โค้ดจากระยะไกลบนเครื่องที่ถูกโจมตี

ช่องโหว่จะส่งผลกระทบกับ Windows ทุกรุ่น ได้แก่ Windows Server, Windows Server 2012 R2, Windows Server 2008, Windows Server 2016, Windows Server 2019, RT 8.1, 8.1, 7 และ 10

ทั้งนี้นักวิจัยด้านความปลอดภัยได้กล่าวว่าพวกเขามีโค้ด Proof-of-Concept (POC) สำหรับช่องโหว่และสามารถใช้งานได้ แต่จะยังไม่ทำการเผยเเพร่สู่สาธารณะ อย่างไรก็ดีผู้ใช้และผู้ดูแลระบบควรทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: securityweek | thehackernews