Microsoft ตัดฟีเจอร์ Preview ใน File Explorer ของ Windows 11 ปิดช่องโหว่โจรกรรม NTLM Hash ฉุกเฉิน
ทำไม Microsoft ต้องแลกความสะดวกสบายกับความปลอดภัย?
ผู้ใช้งาน Windows 11 ที่ติดตั้งอัปเดตความปลอดภัย Patch Tuesday ประจำเดือนตุลาคม 2025 เป็นต้นไป อาจสังเกตเห็นการเปลี่ยนแปลงครั้งใหญ่ใน File Explorer คือ การแสดงตัวอย่างไฟล์ (Preview Pane) สำหรับไฟล์ที่ดาวน์โหลดจากอินเทอร์เน็ตถูกปิดการใช้งานโดยอัตโนมัติ การตัดสินใจที่ดูเหมือนเป็นปัญหาเล็กน้อยนี้ แท้จริงแล้วคือมาตรการฉุกเฉินของ Microsoft เพื่อหยุดยั้งการโจมตีที่อันตรายถึงขั้นสามารถขโมยรหัสผ่านของผู้ใช้ได้ทันที
เปิดโปงช่องโหว่: การโจรกรรม NTLM Hash แบบ Zero-Interaction
การเปลี่ยนแปลงครั้งนี้มุ่งแก้ไขช่องโหว่ร้ายแรงที่เกี่ยวข้องกับการรั่วไหลของ NTLM Hash (New Technology LAN Manager) ซึ่งเป็นข้อมูลรับรองที่ Windows ใช้ในการยืนยันตัวตนในเครือข่าย โดยปกติ NTLM Hash จะถูกส่งในกระบวนการยืนยันตัวตน แต่ช่องโหว่ใน File Explorer ทำให้ผู้โจมตีสามารถขโมยมันไปได้ง่าย ๆ:
- การโจมตีแบบ Passive: มัลแวร์ที่ฝังอยู่ในไฟล์ที่ดาวน์โหลดมา (ซึ่งถูกทำเครื่องหมายด้วย Mark of the Web – MotW) สามารถมีโค้ด HTML (เช่น แท็ก
<link>หรือ<src>) ที่อ้างอิงไปยังเซิร์ฟเวอร์ของแฮกเกอร์ - การรั่วไหลอัตโนมัติ: เมื่อผู้ใช้เลือกไฟล์ดังกล่าวใน File Explorer เพื่อดูตัวอย่าง (Preview) ระบบ Windows จะพยายามเชื่อมต่อไปยังลิงก์ภายนอกที่แฝงอยู่ เพื่อพยายามแสดงเนื้อหา ทำให้ระบบส่ง NTLM Hash ของผู้ใช้ไปยังเซิร์ฟเวอร์ของแฮกเกอร์โดยอัตโนมัติ
- ภัยร้ายแบบไม่ต้องเปิดไฟล์: จุดที่น่ากลัวที่สุดคือการโจมตีนี้เกิดขึ้นโดยไม่ต้องมีการปฏิสัมพันธ์เพิ่มเติมจากผู้ใช้เลยแม้แต่น้อย เพียงแค่ คลิกเลือกไฟล์ เท่านั้นก็ถือว่าข้อมูลรหัสผ่านรั่วไหลแล้ว ซึ่งเป็นช่องโหว่ประเภท Zero-click หรือ Zero-interaction ที่อันตรายมาก
ผลกระทบต่อผู้ใช้งานและการรับมือด้านความปลอดภัย
Microsoft ยืนยันว่าการปิดใช้งานฟีเจอร์ Preview นี้ เป็นการแก้ไขช่องโหว่ที่ถูกค้นพบและพยายามแก้ไขหลายครั้งก่อนหน้านี้ (รวมถึงการบายพาสที่เกี่ยวข้องกับ CVE-2025-24054) การตัดสินใจนี้สะท้อนถึงการเลือกใช้แนวทาง “Secure by Default” เพื่อความปลอดภัยสูงสุด
วิธีจัดการกับ File Preview ที่ถูกปิดไป
สำหรับไฟล์ที่ถูกดาวน์โหลดมาจากอินเทอร์เน็ต (มี MotW) ผู้ใช้จะเห็นข้อความแจ้งเตือนแทนการแสดงตัวอย่าง: “The file you are attempting to preview could harm your computer. If you trust the file and the source you received it from, open it to view its contents.”
- การยกเลิกการบล็อกรายไฟล์: หากคุณมั่นใจในไฟล์นั้นจริง ๆ คุณสามารถคลิกขวาที่ไฟล์ เลือก Properties และคลิกปุ่ม Unblock ที่แท็บ General เพื่อเปิดใช้งาน Preview สำหรับไฟล์นั้น ๆ ได้
- มาตรการป้องกันระยะยาว: NTLM เป็นโปรโตคอลการยืนยันตัวตนที่เก่าและมีช่องโหว่เป็นที่รู้จัก การโจมตีเช่นนี้เน้นย้ำถึงความจำเป็นที่องค์กรต้องเร่งดำเนินการย้ายไปใช้โปรโตคอลที่ปลอดภัยกว่า เช่น Kerberos หรือการเปิดใช้งาน Extended Protection for Authentication (EPA) เพื่อลดความเสี่ยงของ NTLM Relay Attack
แม้ว่าการปิดฟีเจอร์ Preview อาจทำให้การทำงานของผู้ใช้บางรายติดขัด แต่ความเสียหายที่เกิดจากการรั่วไหลของ NTLM Hash สามารถนำไปสู่การยกระดับสิทธิ์และการยึดครองเครือข่ายทั้งหมดได้ มาตรการนี้จึงเป็นการป้องกันที่จำเป็นอย่างยิ่งในโลกไซเบอร์ปัจจุบัน
อ้างอิงจาก : https://www.webpronews.com/microsoft-disables-windows-11-file-explorer-previews-to-block-ntlm-attacks/
