“ช่องโหว่ NTLM แบบ Zero-Click กลับมาอีกครั้ง — LNK Bypass ใหม่หลบแพตช์เดิมได้สำเร็จ” — เมื่อการเปิดไฟล์ .lnk เพียงอย่างเดียวก็อาจทำให้ข้อมูลรับรองรั่วไหล
เว็บไซต์ด้านความปลอดภัย SecurityOnline รายงานว่าช่องโหว่เก่าที่เกี่ยวข้องกับการรั่วไหลของข้อมูล NTLM (NT LAN Manager) ได้กลับมาอีกครั้งในรูปแบบใหม่ โดยใช้ไฟล์ลัด (.lnk) เป็นตัวกระตุ้นการเชื่อมต่อออกไปยังเซิร์ฟเวอร์ของผู้โจมตี โดยไม่ต้องให้เหยื่อคลิกหรือเปิดไฟล์แต่อย่างใด — จึงเรียกว่า “Zero-Click”
แม้ Microsoft จะเคยออกแพตช์เพื่ออุดช่องโหว่นี้แล้ว แต่ผู้วิจัยด้านความปลอดภัยพบวิธีใหม่ในการ “หลบเลี่ยง” แพตช์ดังกล่าว โดยใช้เทคนิคที่เรียกว่า LNK Bypass ซึ่งสามารถฝังคำสั่งให้ระบบปฏิบัติการ Windows เชื่อมต่อออกไปยังเซิร์ฟเวอร์ภายนอกทันทีที่แสดงผลไอคอนของไฟล์ .lnk
เมื่อระบบพยายามโหลดไอคอนจากตำแหน่งที่กำหนดไว้ในไฟล์ .lnk เช่น \\attacker[.]com\icon.ico มันจะส่งข้อมูล NTLM hash ของผู้ใช้ไปยังเซิร์ฟเวอร์นั้นโดยอัตโนมัติ ซึ่งสามารถนำไปใช้ในการโจมตีแบบ NTLM Relay หรือ brute-force เพื่อถอดรหัสรหัสผ่านได้
นักวิจัยได้เผยแพร่โค้ด PoC (proof-of-concept) สำหรับการโจมตีนี้แล้ว และเตือนให้ผู้ใช้ระมัดระวังการเปิดไฟล์ .lnk ที่ได้รับจากแหล่งที่ไม่น่าเชื่อถือ
ช่องโหว่ NTLM Leak แบบ Zero-Click กลับมาอีกครั้ง
ใช้ไฟล์ .lnk เป็นตัวกระตุ้นการรั่วไหลของข้อมูล
เทคนิคใหม่ชื่อ LNK Bypass สามารถหลบเลี่ยงแพตช์เดิมของ Microsoft ได้
ทำให้ช่องโหว่กลับมาใช้งานได้อีกครั้ง
การแสดงผลไอคอนของไฟล์ .lnk เพียงอย่างเดียวก็เพียงพอ
ไม่ต้องคลิกหรือเปิดไฟล์
ระบบจะส่ง NTLM hash ไปยังเซิร์ฟเวอร์ของผู้โจมตี
ผ่านการโหลดไอคอนจาก UNC path ที่กำหนดไว้
โค้ด PoC สำหรับการโจมตีนี้ถูกเผยแพร่แล้ว
เพิ่มความเสี่ยงต่อการนำไปใช้โจมตีจริง
https://securityonline.info/zero-click-ntlm-leak-returns-new-lnk-bypass-poc-available-bypasses-patch-exposing-credentials/
เว็บไซต์ด้านความปลอดภัย SecurityOnline รายงานว่าช่องโหว่เก่าที่เกี่ยวข้องกับการรั่วไหลของข้อมูล NTLM (NT LAN Manager) ได้กลับมาอีกครั้งในรูปแบบใหม่ โดยใช้ไฟล์ลัด (.lnk) เป็นตัวกระตุ้นการเชื่อมต่อออกไปยังเซิร์ฟเวอร์ของผู้โจมตี โดยไม่ต้องให้เหยื่อคลิกหรือเปิดไฟล์แต่อย่างใด — จึงเรียกว่า “Zero-Click”
แม้ Microsoft จะเคยออกแพตช์เพื่ออุดช่องโหว่นี้แล้ว แต่ผู้วิจัยด้านความปลอดภัยพบวิธีใหม่ในการ “หลบเลี่ยง” แพตช์ดังกล่าว โดยใช้เทคนิคที่เรียกว่า LNK Bypass ซึ่งสามารถฝังคำสั่งให้ระบบปฏิบัติการ Windows เชื่อมต่อออกไปยังเซิร์ฟเวอร์ภายนอกทันทีที่แสดงผลไอคอนของไฟล์ .lnk
เมื่อระบบพยายามโหลดไอคอนจากตำแหน่งที่กำหนดไว้ในไฟล์ .lnk เช่น \\attacker[.]com\icon.ico มันจะส่งข้อมูล NTLM hash ของผู้ใช้ไปยังเซิร์ฟเวอร์นั้นโดยอัตโนมัติ ซึ่งสามารถนำไปใช้ในการโจมตีแบบ NTLM Relay หรือ brute-force เพื่อถอดรหัสรหัสผ่านได้
นักวิจัยได้เผยแพร่โค้ด PoC (proof-of-concept) สำหรับการโจมตีนี้แล้ว และเตือนให้ผู้ใช้ระมัดระวังการเปิดไฟล์ .lnk ที่ได้รับจากแหล่งที่ไม่น่าเชื่อถือ
ช่องโหว่ NTLM Leak แบบ Zero-Click กลับมาอีกครั้ง
ใช้ไฟล์ .lnk เป็นตัวกระตุ้นการรั่วไหลของข้อมูล
เทคนิคใหม่ชื่อ LNK Bypass สามารถหลบเลี่ยงแพตช์เดิมของ Microsoft ได้
ทำให้ช่องโหว่กลับมาใช้งานได้อีกครั้ง
การแสดงผลไอคอนของไฟล์ .lnk เพียงอย่างเดียวก็เพียงพอ
ไม่ต้องคลิกหรือเปิดไฟล์
ระบบจะส่ง NTLM hash ไปยังเซิร์ฟเวอร์ของผู้โจมตี
ผ่านการโหลดไอคอนจาก UNC path ที่กำหนดไว้
โค้ด PoC สำหรับการโจมตีนี้ถูกเผยแพร่แล้ว
เพิ่มความเสี่ยงต่อการนำไปใช้โจมตีจริง
https://securityonline.info/zero-click-ntlm-leak-returns-new-lnk-bypass-poc-available-bypasses-patch-exposing-credentials/
🛡️ “ช่องโหว่ NTLM แบบ Zero-Click กลับมาอีกครั้ง — LNK Bypass ใหม่หลบแพตช์เดิมได้สำเร็จ” — เมื่อการเปิดไฟล์ .lnk เพียงอย่างเดียวก็อาจทำให้ข้อมูลรับรองรั่วไหล
เว็บไซต์ด้านความปลอดภัย SecurityOnline รายงานว่าช่องโหว่เก่าที่เกี่ยวข้องกับการรั่วไหลของข้อมูล NTLM (NT LAN Manager) ได้กลับมาอีกครั้งในรูปแบบใหม่ โดยใช้ไฟล์ลัด (.lnk) เป็นตัวกระตุ้นการเชื่อมต่อออกไปยังเซิร์ฟเวอร์ของผู้โจมตี โดยไม่ต้องให้เหยื่อคลิกหรือเปิดไฟล์แต่อย่างใด — จึงเรียกว่า “Zero-Click”
แม้ Microsoft จะเคยออกแพตช์เพื่ออุดช่องโหว่นี้แล้ว แต่ผู้วิจัยด้านความปลอดภัยพบวิธีใหม่ในการ “หลบเลี่ยง” แพตช์ดังกล่าว โดยใช้เทคนิคที่เรียกว่า LNK Bypass ซึ่งสามารถฝังคำสั่งให้ระบบปฏิบัติการ Windows เชื่อมต่อออกไปยังเซิร์ฟเวอร์ภายนอกทันทีที่แสดงผลไอคอนของไฟล์ .lnk
เมื่อระบบพยายามโหลดไอคอนจากตำแหน่งที่กำหนดไว้ในไฟล์ .lnk เช่น \\attacker[.]com\icon.ico มันจะส่งข้อมูล NTLM hash ของผู้ใช้ไปยังเซิร์ฟเวอร์นั้นโดยอัตโนมัติ ซึ่งสามารถนำไปใช้ในการโจมตีแบบ NTLM Relay หรือ brute-force เพื่อถอดรหัสรหัสผ่านได้
นักวิจัยได้เผยแพร่โค้ด PoC (proof-of-concept) สำหรับการโจมตีนี้แล้ว และเตือนให้ผู้ใช้ระมัดระวังการเปิดไฟล์ .lnk ที่ได้รับจากแหล่งที่ไม่น่าเชื่อถือ
✅ ช่องโหว่ NTLM Leak แบบ Zero-Click กลับมาอีกครั้ง
➡️ ใช้ไฟล์ .lnk เป็นตัวกระตุ้นการรั่วไหลของข้อมูล
✅ เทคนิคใหม่ชื่อ LNK Bypass สามารถหลบเลี่ยงแพตช์เดิมของ Microsoft ได้
➡️ ทำให้ช่องโหว่กลับมาใช้งานได้อีกครั้ง
✅ การแสดงผลไอคอนของไฟล์ .lnk เพียงอย่างเดียวก็เพียงพอ
➡️ ไม่ต้องคลิกหรือเปิดไฟล์
✅ ระบบจะส่ง NTLM hash ไปยังเซิร์ฟเวอร์ของผู้โจมตี
➡️ ผ่านการโหลดไอคอนจาก UNC path ที่กำหนดไว้
✅ โค้ด PoC สำหรับการโจมตีนี้ถูกเผยแพร่แล้ว
➡️ เพิ่มความเสี่ยงต่อการนำไปใช้โจมตีจริง
https://securityonline.info/zero-click-ntlm-leak-returns-new-lnk-bypass-poc-available-bypasses-patch-exposing-credentials/
0 ความคิดเห็น
0 การแบ่งปัน
40 มุมมอง
0 รีวิว
English