Hacker สามารถขโมย NTLM Password ของเครื่อง Windows ได้โดยที่ user ไม่ต้องทำอะไร

Microsoft  ออก patch  เพื่อแก้ไข Windows จากการถูก Hacker ขโมย NTLM Password hash โดยไม่จำเป็นต้องมีการ interactive ใดๆจาก user เลย

ช่องโหว่นี้ถูกพบโดย Juan Diego ซึ่งรายงานให้กับ Microsoft ไปตั้งแต่เดือนเมษายนที่ผ่านมา

การแฮ็คนี้เกิดจากการ parsing file SCF (Shell Command File) ที่อยู่ใน file sharing folder ผิดพลาด โดยไฟล์ SCF เป็นไฟล์ที่ support การใช้งานคำสั่ง Windows Explorer command ได้บางคำสั่งเช่น การเปิด Windows Explorer Windows หรือการแสดงหน้าจอ Desktop

โดยแต่ก่อนช่องโหว่ของ SCF นั้นจำเป็นต้องรอให้มีเหยื่อเข้าไปใน folder ก่อนจึงทำงาน แต่ช่องโหว่ที่ Juan เจอกลับกลายเป็นว่าเมื่อ Hacker สามารถทำการ upload SCF ไฟล์ไว้ใน folder จะกลายเป็นสั่งให้ Server ส่ง credential ในแบบที่เป็น NTLM Password hash ไปให้กับ user โดยอัตโนมัติแทน ซึ่งตรงจุดนี้ทาง Juan ก็ไม่ทราบเช่นกันว่าเพราะอะไร และ Microsoft ก็ patch โดยไม่มีการชี้แจงอะไรเพิ่มเติมอีกด้วย

หาก shared folder นั้นจำเป็นต้องเข้าโดยใช้ password จะไม่เป็นไร(ซึ่งเป็นค่าโดย default ของระบบ ซึ่งนั่นทำให้ user ส่วนใหญ่ไม่เป็นไร)

Patch ที่ออกมาจะ patch เครื่อง Windows 10 และ Windows Server 2016 เท่านั้นครับ

Source:: BleepingComputer