เตือนการโจมตีผ่านไฟล์ PDF ขโมยรหัสผ่าน NTLM Hash บน Windows เพียงแค่เปิดไฟล์เท่านั้น

Assaf Baharav จาก Check Point ออกมาแจ้งเตือนถึงการโจมตีผ่านไฟล์ PDF ซึ่งช่วยให้แฮ็กเกอร์ขโมยรหัสผ่านในรูปของ NTLM Hash บน Windows เพียงแค่ผู้ใช้เปิดไฟล์เท่านั้น
Baharav ได้สร้างไฟล์ PDF ชนิดพิเศษขึ้นมาซึ่งมีการเรียกใช้ฟังก์ชัน GoToE และ GoToR เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว ไฟล์ PDF นั้นจะส่ง Request ที่มี NTLM Hash ไปยัง SMB Server ของแฮ็กเกอร์ทันที ส่งผลให้แฮ็กเกอร์สามารถใช้เครื่องมือในการแคร็ก NTLM Hash เพื่อค้นหารหัสผ่านต่อไปได้

Baharav ได้ทดสอบการโจมตีบน Adobe Acrobat และ FoxIT Reader ซึ่งประสบความสำเร็จเป็นอย่างดี และคาดว่าโปรแกรม PDF Reader อื่นๆ น่ามีช่องโหว่นี้ด้วยเช่นกัน

รายละเอียดเชิงเทคนิค: https://research.checkpoint.com/ntlm-credentials-theft-via-pdf-files/