ไมโครซอฟท์แจ้งเตือนช่องโหว่เปิดทางผู้ใช้บนวินโดวส์อ่านฐานข้อมูลรหัสผ่านในเครื่อง

ไมโครซอฟท์ตั้งค่าสิทธิ์การเข้าถึงไฟล์ระบบผิดพลาดทำให้ผู้ใช้ที่ล็อกอินทุกคนมีสิทธิ์เข้าถึงไฟล์ใน %windir%\system32\config\ ซึ่งรวมถึงไฟล์ sam ที่เป็นฐานข้อมูลรหัสผ่านของผู้ใช้ในระบบด้วย เปิดทางให้ผู้ใช้ที่อ่านไฟล์ได้จะสามารถขโมยค่าแฮชของรหัสผ่านออกมาได้

ฐานข้อมูล sam นั้นเก็บเฉพาะค่าแฮช NTLM ของวินโดวส์ซึ่งปกติหากฐานข้อมูลหลุดออกไปก็ยังต้องอาศัยการยิงค่าแฮชเพื่อหารหัสผ่านจริง แต่วินโดวส์นั้นยอมให้ผู้ใช้ยืนยันตัวตนด้วยค่าแฮชในบางกรณี จนเป็นกลุ่มการแฮกที่เรียกว่า pass the hash แฮกเกอร์สามารถเปลี่ยนรหัสผ่านผู้ใช้โดยใช้เพียงค่าแฮช NTLM เท่านั้น ทำให้แฮกเกอร์ที่อ่านฐานข้อมูล sam ได้จะยึดเครื่องด้วยสิทธิผู้ดูแลระบบได้ทันที

โดยปกติแล้วฐานข้อมูล sam จะถูกอ่านตลอดเวลาโดยระบบทำให้ผู้ใช้ทั่วไปเปิดไฟล์ไม่ได้แม้จะมีสิทธิ์ อย่างไรก็ดีหากระบบมี shadow volume ผู้ใช้ก็สามารถเข้าถึงไฟล์ shadow ของไฟล์ sam อยู่ดี

ผู้รายงานช่องโหว่นี้คือ Jonas Lykkegaard อย่างไรก็ดี Will Dormann และ Jeff McJunkin ระบุว่าไมโครซอฟท์เพิ่งเปลี่ยนสิทธิไฟล์ SAM นี้ใน Windows 10 1809 แต่หากติดตั้งใหม่ด้วยไฟล์ติดตั้งเวอร์ชั่นหลังๆ สิทธิ์ไฟล์ก็ตั้งไว้ถูกต้องแล้ว แสดงว่าไมโครซอฟท์แก้ไขสิทธิ์นี้ไปแล้วแต่ไม่ได้กลับไปแก้เครื่องที่ติดตั้งไว้ก่อนหน้า

ไมโครซอฟท์ยังไม่ได้ออกแพตช์ แต่ผู้ใช้สามารถรันคำสั่งเพื่อปิดสิทธิ์การเข้าถึงไฟล์ด้วยตัวเอง และควรต้องลบ shadow volume ออกด้วยเพื่อไม่ให้คนร้ายเข้าถึงได้อีก สำหรับผู้ใช้ที่ใช้เครื่องคนเดียวอาจจะไม่มีความเสี่ยงใดเป็นพิเศษนัก

ที่มา – Bleeping Computer, Microsoft

Microsoft

Topics: 

from:https://www.blognone.com/node/123841