Assaf Baharav จาก Check Point ออกมาแจ้งเตือนถึงการโจมตีผ่านไฟล์ PDF ซึ่งช่วยให้แฮ็กเกอร์ขโมยรหัสผ่านในรูปของ NTLM Hash บน Windows เพียงแค่ผู้ใช้เปิดไฟล์เท่านั้น

Baharav ได้สร้างไฟล์ PDF ชนิดพิเศษขึ้นมาซึ่งมีการเรียกใช้ฟังก์ชัน GoToE และ GoToR เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว ไฟล์ PDF นั้นจะส่ง Request ที่มี NTLM Hash ไปยัง SMB Server ของแฮ็กเกอร์ทันที ส่งผลให้แฮ็กเกอร์สามารถใช้เครื่องมือในการแคร็ก NTLM Hash เพื่อค้นหารหัสผ่านต่อไปได้

Baharav ได้ทดสอบการโจมตีบน Adobe Acrobat และ FoxIT Reader ซึ่งประสบความสำเร็จเป็นอย่างดี และคาดว่าโปรแกรม PDF Reader อื่นๆ น่ามีช่องโหว่นี้ด้วยเช่นกัน

รายละเอียดเชิงเทคนิค: https://research.checkpoint.com/ntlm-credentials-theft-via-pdf-files/



เนื้อหาที่เกี่ยวข้อง

1. ภัยคุกคามทางไซเบอร์กับกฎหมายไซเบอร์ไทย

2. 10 เทรนด์ความปลอดภัยในโลกไซเบอร์ที่ต้องจับตามองในปี 2019

3. พบ 13 เกมมัลแวร์บน Play Store ถูกติดตั้งโดยผู้ใช้กว่าครึ่งล้าน

4. พบช่องโหว่ความปลอดภัยใน MiSafes Kid’s Watcher Plus

5. ธนาคาร HSBC ถูกละเมิดฐานข้อมูลลูกค้า