นักวิจัยจาก CheckPoint รายงานว่า พบวิธีการใช้ช่องโหว่ในไฟล์ PDF เพื่อขโมยรหัสผ่านวินโดวส์ในรูปแฮช NTLM ได้ เพียงแค่ผู้ใช้เปิดไฟล์ดังกล่าวโดยไม่ต้องกดอะไรเพิ่มเติม โดยอาศัยฟีเจอร์ของไฟล์ PDF ที่สามารถโหลดคอนเทนต์สำหรับ GoToE และ GoToR จากระยะไกลได้
นั่นคือ แฮ็กเกอร์สามารถสร้างไฟล์ PDF แบบพิเศษที่ล่อให้เหยื่อเปิดปุ๊บก็สามารถส่งคำร้องขอไปยังเซิร์ฟเวอร์ SMB ของแฮ็กเกอร์ได้โดยอัตโนมัติ ซึ่งประเด็นอยู่ที่ข้อมูลคำร้องขอโปรโตคอล SMB จะมีแฮช NTLM สำหรับใช้ยืนยันตนตามไปด้วย ทำให้เซิร์ฟเวอร์ของอาชญากรสามารถบันทึกแฮชดังกล่าวเพื่อใช้ทูลจำเพาะในการถอดรหัสจริงได้
ผู้เชี่ยวชาญกล่าวว่า โปรแกรมอ่านเอกสาร PDF เกือบทุกตัวอยู่ในข่ายที่โดนโจมตีได้ทั้งหมด ซึ่งฝั่งเจ้าของโปรแกรมอ่านยอดนิยมอย่าง FoxIT ยังไม่ได้ให้ความเห็นในเรื่องนี้ ทางด้าน Adobe กล่าวว่าตนเองยังไม่ได้มีแผนออกแพทช์อุดช่องโหว่ดังกล่าว ส่วนทางไมโครซอฟท์ได้แนะนำให้ผู้ใช้ปิดการยืนยันตนแบบ NTLM SSO บนวินโดวส์
ไฟล์ PDF นั้นมีส่วนข้อมูล /AA ที่ให้ผู้สร้างเอกสารระบุกิจกรรมที่ต้องการรันเมื่อเปิดหรือปิดไฟล์ได้ โดยเฉพาะคำสั่ง GoToต่างๆ ที่เปลี่ยนหน้าแสดงผลไปยังปลายทางที่ต้องการ ไม่ว่าจะเป็น GoToR (Go To Remote) หรือ GoToE (Go To Embedded) ที่ระบุปลายทางไปยังไฟล์ PDF อื่น ซึ่งการเขียนคำสั่งให้วิ่งไปดึงข้อมูลจากเซิร์ฟเวอร์ SMB ระยะไกลแทนนั้นเป็นช่องโหว่ให้ปลายทางได้แฮชของรหัสผ่านวินโดวส์ดังกล่าว
ที่มา : SecurityOnline
