Assaf Baharav จาก Check Point ออกมาแจ้งเตือนถึงการโจมตีผ่านไฟล์ PDF ซึ่งช่วยให้แฮ็กเกอร์ขโมยรหัสผ่านในรูปของ NTLM Hash บน Windows เพียงแค่ผู้ใช้เปิดไฟล์เท่านั้น

Baharav ได้สร้างไฟล์ PDF ชนิดพิเศษขึ้นมาซึ่งมีการเรียกใช้ฟังก์ชัน GoToE และ GoToR เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว ไฟล์ PDF นั้นจะส่ง Request ที่มี NTLM Hash ไปยัง SMB Server ของแฮ็กเกอร์ทันที ส่งผลให้แฮ็กเกอร์สามารถใช้เครื่องมือในการแคร็ก NTLM Hash เพื่อค้นหารหัสผ่านต่อไปได้

Baharav ได้ทดสอบการโจมตีบน Adobe Acrobat และ FoxIT Reader ซึ่งประสบความสำเร็จเป็นอย่างดี และคาดว่าโปรแกรม PDF Reader อื่นๆ น่ามีช่องโหว่นี้ด้วยเช่นกัน

รายละเอียดเชิงเทคนิค: https://research.checkpoint.com/ntlm-credentials-theft-via-pdf-files/



เนื้อหาที่เกี่ยวข้อง

1. WhatsApp มีช่องโหว่ แค่รับสาย Video Call ก็อาจถูกแฮกข้อมูล

2. Firefox Monitor เครื่องมือช่วยตรวจสอบการถูกละเมิดข้อมูล

3. มัลแวร์ใหม่แบบ 3 in 1 ที่รวม Ransomware, แอบขุดเหมือง และ Botnet

4. Chrome 70 Beta รองรับการสแกนลายนิ้วมือเพื่อล็อกอินเข้าเว็บไซต์บน Android และ Mac

5. Apple ลบแอปพลิเคชัน Adware Doctor จาก App Store