Assaf Baharav จาก Check Point ออกมาแจ้งเตือนถึงการโจมตีผ่านไฟล์ PDF ซึ่งช่วยให้แฮ็กเกอร์ขโมยรหัสผ่านในรูปของ NTLM Hash บน Windows เพียงแค่ผู้ใช้เปิดไฟล์เท่านั้น

Baharav ได้สร้างไฟล์ PDF ชนิดพิเศษขึ้นมาซึ่งมีการเรียกใช้ฟังก์ชัน GoToE และ GoToR เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว ไฟล์ PDF นั้นจะส่ง Request ที่มี NTLM Hash ไปยัง SMB Server ของแฮ็กเกอร์ทันที ส่งผลให้แฮ็กเกอร์สามารถใช้เครื่องมือในการแคร็ก NTLM Hash เพื่อค้นหารหัสผ่านต่อไปได้

Baharav ได้ทดสอบการโจมตีบน Adobe Acrobat และ FoxIT Reader ซึ่งประสบความสำเร็จเป็นอย่างดี และคาดว่าโปรแกรม PDF Reader อื่นๆ น่ามีช่องโหว่นี้ด้วยเช่นกัน

รายละเอียดเชิงเทคนิค: https://research.checkpoint.com/ntlm-credentials-theft-via-pdf-files/



เนื้อหาที่เกี่ยวข้อง

1. ปกป้องบุตรหลานของท่านจาก Cyberbullying ได้อย่างไร

2. 4 เหตุผลทำไมถึงควรใช้ Password Manager

3. Microsoft ออกแพตช์ฉุกเฉิน อุดช่องโหว่บน Windows Containers

4. เมื่อ Amazon Echo (Alexa Service) ถูกใช้เพื่อดักฟังเจ้าของ

5. แนะนำการตั้ง Password Policy สำหรับผู้ดูแลระบบ