แพตช์แก้ไขฟรีอย่างไม่เป็นทางการสำหรับช่องโหว่ zero-day ใหม่ใน Windows Themes ทำให้ผู้ไม่ประสงค์ดีสามารถขโมยข้อมูล NTLM credentials จากระยะไกลได้
NTLM ถูกใช้อย่างแพร่หลายในการโจมตีแบบ NTLM relay attacks ซึ่งผู้ไม่ประสงค์ดีสามารถบังคับให้อุปกรณ์ที่มีช่องโหว่ทำการยืนยันตัวตนกับเซิร์ฟเวอร์ที่อยู่ภายใต้การควบคุมของพวกเขาได้ และในการโจมตีแบบ pass the hash จะอาศัยช่องโหว่ของระบบ หรือซอฟต์แวร์ที่เป็นอันตรายในการดึงค่า NTLM hashes (รหัสผ่านที่ผ่านการ hashed) จากระบบของเป้าหมาย
เมื่อผู้ไม่ประสงค์ดีได้รับค่า hash แล้ว จะสามารถยืนยันตัวตนเป็นผู้ใช้งานที่ถูกแฮ็ก ทำให้สามารถเข้าถึงข้อมูลที่สำคัญ และสามารถขยายการเข้าถึงไปยังเครือข่ายที่ถูกแฮ็กได้ โดยเมื่อปีที่ผ่านมา Microsoft ได้ประกาศแผนที่จะเลิกใช้โปรโตคอลการยืนยันตัวตนแบบ NTLM ใน Windows 11 ในอนาคต
การ Bypass แพตช์ความปลอดภัยที่ไม่สมบูรณ์
ผู้เชี่ยวชาญจาก ACROS Security ค้นพบช่องโหว่ใหม่ใน Windows Themes ซึ่งยังไม่มีการกำหนดหมายเลข CVE ในระหว่างการพัฒนา micropatch สำหรับปัญหาด้านความปลอดภัยที่ถูกติดตามในหมายเลข CVE-2024-38030 ซึ่งอาจส่งผลให้ข้อมูล credentials ของผู้ใช้งานรั่วไหล (ซึ่งค้นพบ และรายงานโดย Tomer Peled จาก Akamai) โดยเป็นการ bypass ช่องโหว่ใน Windows Themes (CVE-2024-21320) ที่ Microsoft แก้ไขไปแล้วในเดือนมกราคม
Microsoft อธิบายในคำแนะนำเกี่ยวกับ CVE-2024-21320 ว่า "ผู้ไม่ประสงค์ดีจะโน้มน้าวให้ผู้ใช้งานดาวน์โหลดไฟล์ที่เป็นอันตรายลงบนระบบที่มีช่องโหว่ ซึ่งส่วนใหญ่จะหลอกเหยื่อด้วยอีเมล หรือ Instant Messenger และจากนั้นจะโน้มน้าวให้ผู้ใช้งานจัดการกับไฟล์ที่ถูกสร้างขึ้นมาเป็นพิเศษ แต่ไม่จำเป็นต้องคลิก หรือเปิดไฟล์ที่เป็นอันตราย"
แม้ว่า Microsoft จะอัปเดตแพตช์แก้ไข CVE-2024-38030 ในเดือนกรกฎาคม แต่ ACROS Security พบว่ามีอีกหนึ่งช่องโหว่ที่ผู้ไม่ประสงค์ดีสามารถขโมยข้อมูล NTLM credentials ของเป้าหมายได้บน Windows ทุกเวอร์ชันการอัปเดตตั้งแต่ Windows 7 จนถึง Windows 11 24H2
Mitja Kolsek CEO ของ ACROS Security ระบุว่า "ในขณะที่วิเคราะห์ปัญหา ผู้เชี่ยวชาญด้านความปลอดภัยของเราตัดสินใจที่จะตรวจสอบเพิ่มเติม และพบอีกหนึ่งช่องโหว่ที่ยังคงอยู่ใน Windows ทุกเวอร์ชันการอัปเดต จนถึง Windows 11 24H2 เวอร์ชันล่าสุดในขณะนี้"
ดังนั้น แทนที่จะแก้ไขเพียง CVE-2024-38030 เราจึงได้สร้างแพตช์ที่ครอบคลุมสำหรับไฟล์ของ Windows theme ซึ่งจะครอบคลุมทุก path การทำงานที่นำไปสู่การที่ Windows ส่ง network request ไปยังโฮสต์ภายนอกที่ระบุในไฟล์ theme เพียงแค่กดดูไฟล์เท่านั้น
Kolsek ได้แชร์วิดีโอตัวอย่าง ที่แสดงให้เห็นถึงการคัดลอกไฟล์ Windows theme ที่เป็นอันตรายลงบนระบบ Windows 11 24H2 ที่ได้รับการอัปเดตอย่างสมบูรณ์ ซึ่งจะทำให้เกิดการเชื่อมต่อไปยังเครื่องของผู้ไม่ประสงค์ดี ซึ่งทำให้ข้อมูล NTLM credentials ของผู้ใช้งานที่เข้าสู่ระบบถูกเปิดเผย Video
Micropatches ฟรีอย่างไม่เป็นทางการ
ขณะนี้บริษัทได้จัดเตรียมแพตช์ที่ไม่มีค่าใช้จ่าย และไม่เป็นทางการสำหรับช่องโหว่ zero-day ผ่านบริการ 0patch micropatching สำหรับ Windows ทุกเวอร์ชันที่ได้รับผลกระทบ จนกว่า Microsoft จะมีการแก้ไขอย่างเป็นทางการ ซึ่งได้มีการนำไปใช้ในระบบ Windows ที่ออนไลน์ทั้งหมดที่ใช้งาน 0patch ของบริษัทแล้ว
"เนื่องจากเป็นช่องโหว่ zero-day ที่ยังไม่มีการแก้ไขจาก Microsoft อย่างเป็นทางการ บริษัทจึงให้บริการ micropatches ฟรีจนกว่าการแก้ไขช่องโหว่ดังกล่าวจาก Microsoft จะพร้อมใช้งาน" Kolsek กล่าว
ในการติดตั้ง micropatch บนอุปกรณ์ Windows ให้สร้างบัญชี 0patch และติดตั้งเอเจนต์ 0patch เมื่อเอเจนต์ถูกเปิดใช้งาน micropatches จะถูกนำไปใช้โดยอัตโนมัติโดยไม่ต้องรีสตาร์ทระบบ หากไม่มี patching policy ที่กำหนดเองเพื่อบล็อก
อย่างไรก็ตาม สิ่งสำคัญคือต้องทราบว่าในกรณีนี้ 0patch จะให้ micropatches สำหรับ Windows Workstation เท่านั้น เนื่องจาก Windows Themes จะไม่ทำงานบน Windows Server จนกว่าจะมีการติดตั้งฟีเจอร์ Desktop Experience
Kolsek ระบุเพิ่มเติมว่า "นอกจากนี้ สำหรับการรั่วไหลของข้อมูล credentials บนเซิร์ฟเวอร์ จะไม่เกิดขึ้นเพียงแค่การดูไฟล์ theme ใน Windows Explorer หรือบนเดสก์ท็อป แต่ต้องมีการดับเบิลคลิกที่ไฟล์ theme และนำ theme ไปใช้งาน"
ในขณะที่ Microsoft ให้ข้อมูลกับ BleepingComputer ว่า "พวกเขาทราบถึงรายงานนี้ และจะดำเนินการตามที่จำเป็นเพื่อช่วยให้ลูกค้าปลอดภัย" เมื่อถูกถามเกี่ยวกับระยะเวลาสำหรับการออกแพตช์ Microsoft Security Response Center ให้ข้อมูลกับ Kolsek ว่า "พวกเขาตั้งใจที่จะออกแพตช์แก้ไขปัญหานี้โดยเร็วที่สุด"
ผู้ใช้งาน Windows ที่ต้องการทางเลือกอื่นนอกจากการใช้ micropatches ของ 0patch จนกว่าจะมีแพตช์อย่างเป็นทางการ ก็สามารถใช้มาตรการลดผลกระทบที่ Microsoft แจ้งไว้ได้ รวมถึงการนำ group policy ที่บล็อก NTLM hashes มาใช้ตามที่ระบุในคำแนะนำของ CVE-2024-21320
Ref : bleepingcomputer.com
ไม่มีความคิดเห็น:
แสดงความคิดเห็น