Jimmy Bayne ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้เปิดเผยว่าพบวิธีการใช้ Theme บน Windows 10 ไปหลอกขโมย Hash Password ของเหยื่อได้
ไฟล์ธีม (Themes) บน Windows 10 (ตามภาพประกอบด้านบน) สามารถถูกปรับแต่งขึ้นเองได้ ซึ่งจะเก็บอยู่ใน ‘%AppData%\Microsoft\Windows\Themes’ ทั้งนี้ผู้มีไอเดียสร้างสรรค์สามารถสร้างธีมของตนและแชร์ให้ผู้อื่นผ่านช่องทางไหนก็ได้ด้วยไฟล์ ‘.deskthemepack’ โดยฝั่งผู้รับเพียงแค่ดับเบิ้ลคลิกเพื่อติดตั้งธีมนั้นต่อไป
วิธีการโจมตีแบบ Pass-the-hash มีวัตถุประสงค์เพื่อเก็บชื่อล็อกอินและรหัสผ่านที่ถูก Hash เอาไว้ เพียงแค่หลอกให้เหยื่อเข้าไปในการแชร์ SMB ที่ต้องการพิสูจน์ตัวตน โดย Windows จะทำการล็อกอินอัตโนมัติไปยัง SMB ด้วย ชื่อล็อกอินและ NTLM Hash password
อย่างไรก็ดีนักวิจัยพบว่าสามารถสร้างธีมที่ชี้ไปยังทรัพยากรภายนอกที่ติดการพิสูจน์ตัวตนได้ และส่งไปให้เหยื่อเพื่อเปิดธีมดังกล่าว ด้วยเหตุนี้เองแฮ็กเกอร์ก็แค่รอให้ Windows ส่ง Credentials และเก็บข้อมูลเหล่านั้นไว้ แม้ว่า Bayne จะแจ้งแก่ทีมงานของ Microsoft แล้วตั้งแต่ต้นปี แต่ก็น่าผิดหวังกับคำตอบที่ว่าไม่สามารถแก้ได้เพราะเป็นฟีเจอร์ของการออกแบบ
วิธีการป้องกันมีทางเลือกดังนี้
- บล็อกหรือเปลี่ยนความเชื่อมโยงของไฟล์ต่างๆ ที่นามสกุล .theme, .themepack และ .desktopthemepack ไปยังโปรแกรมอื่น แต่วิธีการนี้ผู้ใช้งานจะไม่สามารถเปลี่ยนธีมอื่นได้อีก
- ไปบล็อกการส่ง NTLM อัตโนมัติใน Group Policy ที่ ‘Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers’ แต่อาจขัดแย้งในการใช้งานระดับองค์กร
- เพิ่ม Multi-factor Authentication กับ Microsoft Account เพื่อเพิ่มการป้องกันอีกชั้นหนึ่ง
from:https://www.techtalkthai.com/windows-10-themes-can-abused-to-steal-ntlm-hash-password/
techfeedthai 