Zombie Protocol: NTLM ยังหลอกหลอนโลกไซเบอร์ในปี 2025
แม้ว่า NTLM จะเป็นโปรโตคอลการยืนยันตัวตนที่มีอายุกว่า 20 ปี แต่รายงานล่าสุดจาก Kaspersky ชี้ว่า NTLM ยังคงถูกใช้งานอย่างแพร่หลายและเป็นช่องทางโจมตีสำคัญในปี 2025 ช่องโหว่ใหม่ ๆ เช่น CVE-2024-43451 ทำให้ผู้โจมตีสามารถขโมยค่าแฮช NTLMv2 ได้โดยแทบไม่ต้องมีการโต้ตอบจากผู้ใช้เลย
ช่องโหว่ CVE-2024-43451 และการโจมตีจริง
ช่องโหว่นี้เกิดจากการใช้ MSHTML engine ที่ยังคงอยู่ใน Windows เพื่อรองรับการทำงานย้อนหลัง ผู้โจมตีสามารถสร้างไฟล์ .url ที่เมื่อผู้ใช้คลิก ขยับ หรือแม้แต่ลบไฟล์ ก็จะกระตุ้นให้ระบบส่งข้อมูลยืนยันตัวตนไปยังเซิร์ฟเวอร์ของผู้โจมตีทันที กรณีนี้ถูกใช้จริงโดยกลุ่มแฮกเกอร์หลายกลุ่ม เช่น BlindEagle ในโคลอมเบีย และ Head Mare ในรัสเซีย
ช่องโหว่ NTLM อื่น ๆ ที่ร้ายแรง
นอกจาก CVE-2024-43451 ยังมี CVE-2025-33073 ซึ่งเป็นช่องโหว่ NTLM Reflection ที่ทำให้ผู้โจมตีสามารถบังคับให้เครื่องยืนยันตัวตนกับตัวเอง และได้สิทธิ์ SYSTEM-level โดยตรง กรณีนี้ถูกพบในภาคการเงินของอุซเบกิสถาน และถูกใช้เพื่อขโมยข้อมูลจากหน่วยความจำ LSASS
ความท้าทายของ Legacy Debt
แม้ Microsoft จะพยายามผลักดันให้เลิกใช้ NTLM และเปลี่ยนไปใช้ Kerberos แต่หลายองค์กรยังคงมีระบบที่พึ่งพา NTLM อยู่ ทำให้เกิดสิ่งที่เรียกว่า Legacy Debt หรือหนี้ทางเทคโนโลยีที่ยากจะลบออกไปได้ทันที นักวิจัยแนะนำให้เร่งตรวจสอบเครือข่ายเพื่อหาการใช้งาน NTLM และบังคับใช้มาตรการป้องกัน เช่น SMB Signing และ Extended Protection for Authentication (EPA)
สรุปสาระสำคัญ
NTLM ยังคงถูกใช้งานในปี 2025
แม้จะเป็นโปรโตคอลเก่า แต่ยังฝังอยู่ในระบบ Windows จำนวนมาก
ช่องโหว่ CVE-2024-43451 ถูกใช้โจมตีจริง
ใช้ไฟล์ .url เพื่อขโมยค่าแฮช NTLMv2 โดยไม่ต้องเปิดไฟล์
CVE-2025-33073 เปิดช่องให้สิทธิ์ SYSTEM-level
ใช้เทคนิค Reflection บังคับให้เครื่องยืนยันตัวตนกับตัวเอง
กลุ่มแฮกเกอร์หลายประเทศใช้ช่องโหว่นี้
BlindEagle (โคลอมเบีย), Head Mare (รัสเซีย/เบลารุส), Trojan Distribution (รัสเซีย)
การคงอยู่ของ NTLM คือ Legacy Debt
องค์กรที่ไม่เร่งเปลี่ยนไปใช้ Kerberos เสี่ยงต่อการถูกโจมตีซ้ำ
การเผยแพร่สาธารณะของเทคนิคโจมตี
เพิ่มโอกาสให้ผู้โจมตีทั่วไปสามารถนำไปใช้ได้ง่ายขึ้น
https://securityonline.info/zombie-protocol-how-ntlm-flaws-like-cve-2024-43451-are-haunting-2025/
แม้ว่า NTLM จะเป็นโปรโตคอลการยืนยันตัวตนที่มีอายุกว่า 20 ปี แต่รายงานล่าสุดจาก Kaspersky ชี้ว่า NTLM ยังคงถูกใช้งานอย่างแพร่หลายและเป็นช่องทางโจมตีสำคัญในปี 2025 ช่องโหว่ใหม่ ๆ เช่น CVE-2024-43451 ทำให้ผู้โจมตีสามารถขโมยค่าแฮช NTLMv2 ได้โดยแทบไม่ต้องมีการโต้ตอบจากผู้ใช้เลย
ช่องโหว่ CVE-2024-43451 และการโจมตีจริง
ช่องโหว่นี้เกิดจากการใช้ MSHTML engine ที่ยังคงอยู่ใน Windows เพื่อรองรับการทำงานย้อนหลัง ผู้โจมตีสามารถสร้างไฟล์ .url ที่เมื่อผู้ใช้คลิก ขยับ หรือแม้แต่ลบไฟล์ ก็จะกระตุ้นให้ระบบส่งข้อมูลยืนยันตัวตนไปยังเซิร์ฟเวอร์ของผู้โจมตีทันที กรณีนี้ถูกใช้จริงโดยกลุ่มแฮกเกอร์หลายกลุ่ม เช่น BlindEagle ในโคลอมเบีย และ Head Mare ในรัสเซีย
ช่องโหว่ NTLM อื่น ๆ ที่ร้ายแรง
นอกจาก CVE-2024-43451 ยังมี CVE-2025-33073 ซึ่งเป็นช่องโหว่ NTLM Reflection ที่ทำให้ผู้โจมตีสามารถบังคับให้เครื่องยืนยันตัวตนกับตัวเอง และได้สิทธิ์ SYSTEM-level โดยตรง กรณีนี้ถูกพบในภาคการเงินของอุซเบกิสถาน และถูกใช้เพื่อขโมยข้อมูลจากหน่วยความจำ LSASS
ความท้าทายของ Legacy Debt
แม้ Microsoft จะพยายามผลักดันให้เลิกใช้ NTLM และเปลี่ยนไปใช้ Kerberos แต่หลายองค์กรยังคงมีระบบที่พึ่งพา NTLM อยู่ ทำให้เกิดสิ่งที่เรียกว่า Legacy Debt หรือหนี้ทางเทคโนโลยีที่ยากจะลบออกไปได้ทันที นักวิจัยแนะนำให้เร่งตรวจสอบเครือข่ายเพื่อหาการใช้งาน NTLM และบังคับใช้มาตรการป้องกัน เช่น SMB Signing และ Extended Protection for Authentication (EPA)
สรุปสาระสำคัญ
NTLM ยังคงถูกใช้งานในปี 2025
แม้จะเป็นโปรโตคอลเก่า แต่ยังฝังอยู่ในระบบ Windows จำนวนมาก
ช่องโหว่ CVE-2024-43451 ถูกใช้โจมตีจริง
ใช้ไฟล์ .url เพื่อขโมยค่าแฮช NTLMv2 โดยไม่ต้องเปิดไฟล์
CVE-2025-33073 เปิดช่องให้สิทธิ์ SYSTEM-level
ใช้เทคนิค Reflection บังคับให้เครื่องยืนยันตัวตนกับตัวเอง
กลุ่มแฮกเกอร์หลายประเทศใช้ช่องโหว่นี้
BlindEagle (โคลอมเบีย), Head Mare (รัสเซีย/เบลารุส), Trojan Distribution (รัสเซีย)
การคงอยู่ของ NTLM คือ Legacy Debt
องค์กรที่ไม่เร่งเปลี่ยนไปใช้ Kerberos เสี่ยงต่อการถูกโจมตีซ้ำ
การเผยแพร่สาธารณะของเทคนิคโจมตี
เพิ่มโอกาสให้ผู้โจมตีทั่วไปสามารถนำไปใช้ได้ง่ายขึ้น
https://securityonline.info/zombie-protocol-how-ntlm-flaws-like-cve-2024-43451-are-haunting-2025/
🧟♂️ Zombie Protocol: NTLM ยังหลอกหลอนโลกไซเบอร์ในปี 2025
แม้ว่า NTLM จะเป็นโปรโตคอลการยืนยันตัวตนที่มีอายุกว่า 20 ปี แต่รายงานล่าสุดจาก Kaspersky ชี้ว่า NTLM ยังคงถูกใช้งานอย่างแพร่หลายและเป็นช่องทางโจมตีสำคัญในปี 2025 ช่องโหว่ใหม่ ๆ เช่น CVE-2024-43451 ทำให้ผู้โจมตีสามารถขโมยค่าแฮช NTLMv2 ได้โดยแทบไม่ต้องมีการโต้ตอบจากผู้ใช้เลย
⚠️ ช่องโหว่ CVE-2024-43451 และการโจมตีจริง
ช่องโหว่นี้เกิดจากการใช้ MSHTML engine ที่ยังคงอยู่ใน Windows เพื่อรองรับการทำงานย้อนหลัง ผู้โจมตีสามารถสร้างไฟล์ .url ที่เมื่อผู้ใช้คลิก ขยับ หรือแม้แต่ลบไฟล์ ก็จะกระตุ้นให้ระบบส่งข้อมูลยืนยันตัวตนไปยังเซิร์ฟเวอร์ของผู้โจมตีทันที กรณีนี้ถูกใช้จริงโดยกลุ่มแฮกเกอร์หลายกลุ่ม เช่น BlindEagle ในโคลอมเบีย และ Head Mare ในรัสเซีย
🔑 ช่องโหว่ NTLM อื่น ๆ ที่ร้ายแรง
นอกจาก CVE-2024-43451 ยังมี CVE-2025-33073 ซึ่งเป็นช่องโหว่ NTLM Reflection ที่ทำให้ผู้โจมตีสามารถบังคับให้เครื่องยืนยันตัวตนกับตัวเอง และได้สิทธิ์ SYSTEM-level โดยตรง กรณีนี้ถูกพบในภาคการเงินของอุซเบกิสถาน และถูกใช้เพื่อขโมยข้อมูลจากหน่วยความจำ LSASS
🌐 ความท้าทายของ Legacy Debt
แม้ Microsoft จะพยายามผลักดันให้เลิกใช้ NTLM และเปลี่ยนไปใช้ Kerberos แต่หลายองค์กรยังคงมีระบบที่พึ่งพา NTLM อยู่ ทำให้เกิดสิ่งที่เรียกว่า Legacy Debt หรือหนี้ทางเทคโนโลยีที่ยากจะลบออกไปได้ทันที นักวิจัยแนะนำให้เร่งตรวจสอบเครือข่ายเพื่อหาการใช้งาน NTLM และบังคับใช้มาตรการป้องกัน เช่น SMB Signing และ Extended Protection for Authentication (EPA)
📌 สรุปสาระสำคัญ
✅ NTLM ยังคงถูกใช้งานในปี 2025
➡️ แม้จะเป็นโปรโตคอลเก่า แต่ยังฝังอยู่ในระบบ Windows จำนวนมาก
✅ ช่องโหว่ CVE-2024-43451 ถูกใช้โจมตีจริง
➡️ ใช้ไฟล์ .url เพื่อขโมยค่าแฮช NTLMv2 โดยไม่ต้องเปิดไฟล์
✅ CVE-2025-33073 เปิดช่องให้สิทธิ์ SYSTEM-level
➡️ ใช้เทคนิค Reflection บังคับให้เครื่องยืนยันตัวตนกับตัวเอง
✅ กลุ่มแฮกเกอร์หลายประเทศใช้ช่องโหว่นี้
➡️ BlindEagle (โคลอมเบีย), Head Mare (รัสเซีย/เบลารุส), Trojan Distribution (รัสเซีย)
‼️ การคงอยู่ของ NTLM คือ Legacy Debt
⛔ องค์กรที่ไม่เร่งเปลี่ยนไปใช้ Kerberos เสี่ยงต่อการถูกโจมตีซ้ำ
‼️ การเผยแพร่สาธารณะของเทคนิคโจมตี
⛔ เพิ่มโอกาสให้ผู้โจมตีทั่วไปสามารถนำไปใช้ได้ง่ายขึ้น
https://securityonline.info/zombie-protocol-how-ntlm-flaws-like-cve-2024-43451-are-haunting-2025/
0 Comments
0 Shares
15 Views
0 Reviews
Thai