นักวิจัยด้านความมั่นคงปลอดภัยบริษัท Checkpoint นาย Assaf Baharav ได้ออกมาเผยแพร่ถึงการค้นพบว่า ไฟล์ PDF สามารใช้ขโมย Windows Credentials ได้ โดยแค่ทำการเปิดไฟล์เท่านั้น
นาย Baharav ได้ทำการทดลอง โดยสร้างไฟล์ PDF โดยตั้งค่าให้สามารถทำการโหลด Content จากทางไกลได้ด้วยฟังก์ชัน GoToE (embbeded go-to ) และ GoToR เมื่อมีผู้ใช้เปิดเอกสาร PDF จะทำการร้องขอไปยัง SMB Sever ที่เป็นอัตรายโดยอัตโนมัติทันที โดยปกติแล้ว การร้องขอแบบ SMB นี้ยังรวมถึงค่า NTLM Hash ของผู้ใช้ด้วย
นาย Baharav ได้ทดสอบการโจมตีนี้กับ Adobe Acrobat และ FoxIT Reader เท่านั้น
NTLM Hash นี้จะเก็บค่า NTLM Hash ใน Log ของเซิร์ฟเวอร์ ซึ่งภายในจะประกอบด้วยเครื่องมือที่สามารแตกค่า hash และกู้รหัสผ่านได้
ที่มาภาพ: Bleeping Computer
จริงๆ แล้วการโจมตีแบบนี้เคยเกิดขึ้นมาก่อนแล้วกับการใช้งานเอกสาร Office, Outlook, บราวเซอร์, ไฟล์ Windows shortcut, shared folders และฟังก์ชันในระบบปฎิบัติการ Windows
จากการต้นพบนี้นาย Baharav ได้ทำการแจ้งเตือนไปแล้ว ทาง FoxIT ยังไม่มีการตอบกลับใดๆ ส่วนทาง Adobe แจ้งกลับมาว่ายังไม่มีแผนการที่จะปรับปรุงแก้ไข Software แต่ให้ทำตามคำแนะนำของ Microsoft Security Advisory ADV170014 ที่แนะนำให้ทำการปิดการพิสูจน์ตัวตนบน Windows ด้วย NTLM SSO เพื่อป้องกันการขโมย NTLM Hash ผ่านการร้องขอ SMB ไปยังเซิร์ฟเวอร์ภายนอก
ที่มา : Bleeping Computer