ฟีเจอร์ Windows 10 Theme สามารถทำให้ผู้ประสงค์ร้ายขโมยรหัสผ่านล็อกอิน Windows ได้

Jimmy Bayne นักวิจัยด้านความปลอดภัยจาก Weekend Security ได้เปิดเผยถึงการโจมตีแบบ Pass-the-Hash โดยการใช้ Windows Theme ที่ออกแบบมาเป็นพิเศษซึ่งจะทำให้ผู้โจมตีสามารถขโมยข้อมูล Credential และสามารถเข้าสู่ระบบ Windows ได้

เทคนิคการโจมตีแบบ Pass-the-Hash นั้นจะใช้เพื่อทำการขโมยข้อมูลบัญชีผู้ใช้และแฮชรหัสผ่านของ Windows โดยหลอกให้ผู้ใช้เข้าถึง SMB share จากระยะไกลที่ต้องมีการตรวจสอบสิทธิ์ เมื่อมีการพยายาม Remote เพื่อเข้าถึง Windows จะเข้าสู่ระบบโดยอัตโนมัติ โดยจะส่งชื่อบัญชีล็อกอินของผู้ใช้ Windows และแฮช NTLM ของรหัสผ่านกลับไปและจะทำให้ผู้โจมตีสามารถรวบรวมข้อมูล Credential และสามารถเข้าสู่ระบบ Windows ได้

เพื่อเป็นการป้องกันไฟล์ Theme ที่เป็นอันตราย Bayne ได้แนะนำให้ผู้ใช้ทำการปิดส่วนที่เกี่ยวข้องกับ Extensions ของ theme เช่น .theme, .themepack และ .desktopthemepackfile และโปรแกรมอื่นๆที่เกี่ยวข้อง ซึ่งการปิดส่วนนี้จะทำให้ฟีเจอร์ Windows 10 Themes ไม่สามาารถใช้งานได้ผู้ใช้ต้องทำการพิจารณาในการปิดใช้งานฟีเจอร์นี้ ทั้งนี้ผู้ใช้ Windows สามารถกำหนดค่า group policy ที่ชื่อ ‘Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers’ และตั้งค่าเป็น ' Deny All ' เพื่อป้องกันไม่ให้ส่ง NTLM Credential ไปยัง Remote host และเพื่อป้องกันการรั่วไหลของ Credential บัญชีผู้ใช้

ที่มา: bleepingcomputer.

Microsoft Patches Critical Vulnerabilities in NTLM

Microsoft ออกแพตช์ประจำเดือนมิถุนายน 2019 แก้ไขช่องโหว่กว่า 90 ช่องโหว่ รวมถึง 2 ช่องโหว่ในระดับ Critical ที่มีผลกระทบกับโปรโตคอล NTLM

CVE-2019-1040 และ CVE-2019-1019 คือช่องโหว่ภายใน NTLM ที่ทำให้ผู้โจมตีข้ามกลไกการตรวจสอบสิทธิ์ของ NTLM ได้ โดยมีผลกระทบต่อ windows ทุกรุ่น ผู้โจมตีที่ใช้งานช่องโหว่นี้จะสามารถรันโค้ดอันตรายบนเครื่อง windows หรือเข้าถึง HTTP server ที่รองรับ Windows Integrated Authentication (WIA) ซึ่งจะรวมถึง Exchange และ ADFS

NTLM นั่นอาจถูกโจมตีจาก relay attacks ได้ ทำให้ Microsoft เพิ่มกลไกในการป้องกันการโจมตีดังกล่าว แต่นักวิจัยจาก Preempt พบวิธีที่จะข้ามกลไกการป้องกันได้แก่ Message Integrity Code (MIC) SMB Session Signing และ Enhanced Protection for Authentication (EPA) ได้ ทำให้สามารถทำการโจมตีด้วย relay attacks สำเร็จได้

ผู้ใช้ควรทำการ update แพตช์ให้เป็นปัจจุบัน ทำการตั้งค่าบนเครื่อง server ให้ปลอดภัย ได้แก่บังคับใช้SMB Signing, บล็อก NTLMv1, บังคับใช้ LDAP/S Signing และบังคับใช้ EPA และลดการใช้งาน NTLM ในส่วนที่ไม่จำเป็น

ที่มา:securityweek