Assaf Baharav จาก Check Point ออกมาแจ้งเตือนถึงการโจมตีผ่านไฟล์ PDF ซึ่งช่วยให้แฮ็กเกอร์ขโมยรหัสผ่านในรูปของ NTLM Hash บน Windows เพียงแค่ผู้ใช้เปิดไฟล์เท่านั้น

Baharav ได้สร้างไฟล์ PDF ชนิดพิเศษขึ้นมาซึ่งมีการเรียกใช้ฟังก์ชัน GoToE และ GoToR เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว ไฟล์ PDF นั้นจะส่ง Request ที่มี NTLM Hash ไปยัง SMB Server ของแฮ็กเกอร์ทันที ส่งผลให้แฮ็กเกอร์สามารถใช้เครื่องมือในการแคร็ก NTLM Hash เพื่อค้นหารหัสผ่านต่อไปได้

Baharav ได้ทดสอบการโจมตีบน Adobe Acrobat และ FoxIT Reader ซึ่งประสบความสำเร็จเป็นอย่างดี และคาดว่าโปรแกรม PDF Reader อื่นๆ น่ามีช่องโหว่นี้ด้วยเช่นกัน

รายละเอียดเชิงเทคนิค: https://research.checkpoint.com/ntlm-credentials-theft-via-pdf-files/



เนื้อหาที่เกี่ยวข้อง

1. Faxploit ช่องโหว่เครื่องแฟกซ์ ที่โจมตีได้เพียงแค่มีหมายเลขแฟกซ์เท่านั้น

2. Samsung Galaxy S7 มีความเสี่ยงต่อการถูกแฮกด้วยช่องโหว่ Meltdown

3. MikroTik Router แสนกว่าเครื่องถูกฝังมัลแวร์ Cryptocurrency

4. Starbucks จะเปิดรับ Bitcoin ในการชำระค่าสินค้า

5. แอปพลิเคชันนับร้อยถูกลบออกจาก Play Store เพราะฝังมัลแวร์ Windows