Back to Blog

Windows Search URI ช่องโหว่ยังไม่ถูกแก้ เปิดทางขโมย NTLMv2 Hash

ช่องโหว่ Windows Search URI ยังไม่ได้รับการแก้ไข นักวิจัยเผยสามารถใช้ขโมย NTLMv2 hash ของผู้ใช้ได้ คล้ายกับกรณี CVE-2026-33829

Sales
1 min read
Windows Search URI ช่องโหว่ยังไม่ถูกแก้ เปิดทางขโมย NTLMv2 Hash

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของปัญหาที่ยังไม่ได้รับการแก้ไข ซึ่งสามารถนำมาใช้ขโมย NTLMv2 hash ของผู้ใช้ได้ โดยช่องโหว่นี้เกี่ยวข้องกับ URI handler ของฟังก์ชัน search: ในระบบปฏิบัติการ Windows

ช่องโหว่ดังกล่าวคล้ายคลึงกับกรณี CVE-2026-33829 ที่เคยส่งผลกระทบต่อ ms-screensketch: URI handler ในเครื่องมือ Snipping Tool ซึ่งช่องโหว่ก่อนหน้านี้เป็นช่องโหว่แบบ spoofing ที่ทำให้ข้อมูลรั่วไหลได้


ช่องโหว่ใน search: URI Handler


Huntress บริษัทด้านความปลอดภัยทางไซเบอร์เป็นผู้เปิดเผยว่าช่องโหว่ใหม่นี้อยู่ใน search: URI handler ซึ่งเป็นส่วนประกอบที่ใช้ในการเปิดฟังก์ชันค้นหาของ Windows โดย URI handler นี้สามารถถูกโจมตีให้ดึงข้อมูล NTLMv2 hash ออกมาได้โดยที่ผู้ใช้ไม่รู้ตัว

รูปแบบการโจมตีอาจเกิดขึ้นเมื่อผู้ใช้คลิกลิงก์ที่ถูกสร้างขึ้นมาเป็นพิเศษ ซึ่งจะทำให้ระบบพยายามยืนยันตัวตนไปยังเซิร์ฟเวอร์ของผู้โจมตี ส่งผลให้ NTLMv2 hash ถูกเปิดเผยออกมาโดยไม่ตั้งใจ


ความรุนแรงของปัญหาด้านความปลอดภัย


NTLMv2 hash ที่ถูกขโมยไปสามารถนำไปใช้ในการโจมตีแบบ Pass-the-Hash หรือใช้ในการถอดรหัสเพื่อหาค่ารหัสผ่านจริงของผู้ใช้ได้ ทำให้ผู้โจมตีสามารถเข้าถึงระบบหรือทรัพยากรภายในเครือข่ายได้โดยไม่ต้องทราบรหัสผ่านต้นฉบับ

นอกจากนี้ยังสามารถใช้ hash ดังกล่าวในการปลอมแปลงตัวตนเพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนหรือระบบที่สำคัญขององค์กร ซึ่งถือเป็นภัยคุกคามที่ร้ายแรงระดับสูง


การเปรียบเทียบกับ CVE-2026-33829


ช่องโหว่ CVE-2026-33829 ที่เคยเกิดขึ้นกับ Windows Snipping Tool เป็นช่องโหว่แบบ spoofing ที่อาศัย URI handler เช่นเดียวกัน โดย ms-screensketch: URI handler ถูกใช้ในการเปิดฟังก์ชันแคปหน้าจอ แต่กลับถูกนำไปใช้ในทางที่ผิดเพื่อเปิดเผยข้อมูล

รูปแบบการโจมตีของทั้งสองกรณีคล้ายคลึงกัน โดยอาศัย URI handler ที่มีสิทธิ์เข้าถึงระบบในระดับหนึ่งเพื่อดึงข้อมูลสำคัญของผู้ใช้ ซึ่งแสดงให้เห็นถึงปัญหาเชิงโครงสร้างในการออกแบบ URI handler ของ Windows ที่อาจส่งผลกระทบต่อความปลอดภัยในระยะยาว


แนวทางการป้องกันและข้อควรระวัง


ผู้ใช้และองค์กรควรระมัดระวังการคลิกลิงก์จากแหล่งที่ไม่น่าไว้วางใจ โดยเฉพาะลิงก์ที่เกี่ยวข้องกับฟังก์ชันค้นหาหรือระบบภายในของ Windows เนื่องจากอาจถูกดัดแปลงให้เรียกใช้ search: URI Handler ได้

นอกจากนี้ควรติดตามข่าวสารอัปเดตความปลอดภัยจากไมโครซอฟต์อย่างใกล้ชิด และพิจารณาการใช้มาตรการป้องกันเพิ่มเติม เช่น การจำกัดการส่งผ่าน NTLM ผ่านนโยบายกลุ่ม หรือการใช้โซลูชันความปลอดภัยที่สามารถตรวจจับพฤติกรรมการโจมตีแบบ Pass-the-Hash ได้


Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด