ทำไม Microsoft ต้องแลกความสะดวกสบายกับความปลอดภัย?
ผู้ใช้งาน Windows 11 ที่ติดตั้งอัปเดตความปลอดภัย Patch Tuesday ประจำเดือนตุลาคม 2025 เป็นต้นไป อาจสังเกตเห็นการเปลี่ยนแปลงครั้งใหญ่ใน File Explorer คือ การแสดงตัวอย่างไฟล์ (Preview Pane) สำหรับไฟล์ที่ดาวน์โหลดจากอินเทอร์เน็ตถูกปิดการใช้งานโดยอัตโนมัติ การตัดสินใจที่ดูเหมือนเป็นปัญหาเล็กน้อยนี้ แท้จริงแล้วคือมาตรการฉุกเฉินของ Microsoft เพื่อหยุดยั้งการโจมตีที่อันตรายถึงขั้นสามารถขโมยรหัสผ่านของผู้ใช้ได้ทันที
เปิดโปงช่องโหว่: การโจรกรรม NTLM Hash แบบ Zero-Interaction
การเปลี่ยนแปลงครั้งนี้มุ่งแก้ไขช่องโหว่ร้ายแรงที่เกี่ยวข้องกับการรั่วไหลของ NTLM Hash (New Technology LAN Manager) ซึ่งเป็นข้อมูลรับรองที่ Windows ใช้ในการยืนยันตัวตนในเครือข่าย โดยปกติ NTLM Hash จะถูกส่งในกระบวนการยืนยันตัวตน แต่ช่องโหว่ใน File Explorer ทำให้ผู้โจมตีสามารถขโมยมันไปได้ง่าย ๆ:
- การโจมตีแบบ Passive: มัลแวร์ที่ฝังอยู่ในไฟล์ที่ดาวน์โหลดมา (ซึ่งถูกทำเครื่องหมายด้วย Mark of the Web – MotW) สามารถมีโค้ด HTML (เช่น แท็ก
<link>หรือ<src>) ที่อ้างอิงไปยังเซิร์ฟเวอร์ของแฮกเกอร์ - การรั่วไหลอัตโนมัติ: เมื่อผู้ใช้เลือกไฟล์ดังกล่าวใน File Explorer เพื่อดูตัวอย่าง (Preview) ระบบ Windows จะพยายามเชื่อมต่อไปยังลิงก์ภายนอกที่แฝงอยู่ เพื่อพยายามแสดงเนื้อหา ทำให้ระบบส่ง NTLM Hash ของผู้ใช้ไปยังเซิร์ฟเวอร์ของแฮกเกอร์โดยอัตโนมัติ
- ภัยร้ายแบบไม่ต้องเปิดไฟล์: จุดที่น่ากลัวที่สุดคือการโจมตีนี้เกิดขึ้นโดยไม่ต้องมีการปฏิสัมพันธ์เพิ่มเติมจากผู้ใช้เลยแม้แต่น้อย เพียงแค่ คลิกเลือกไฟล์ เท่านั้นก็ถือว่าข้อมูลรหัสผ่านรั่วไหลแล้ว ซึ่งเป็นช่องโหว่ประเภท Zero-click หรือ Zero-interaction ที่อันตรายมาก
ผลกระทบต่อผู้ใช้งานและการรับมือด้านความปลอดภัย
Microsoft ยืนยันว่าการปิดใช้งานฟีเจอร์ Preview นี้ เป็นการแก้ไขช่องโหว่ที่ถูกค้นพบและพยายามแก้ไขหลายครั้งก่อนหน้านี้ (รวมถึงการบายพาสที่เกี่ยวข้องกับ CVE-2025-24054) การตัดสินใจนี้สะท้อนถึงการเลือกใช้แนวทาง “Secure by Default” เพื่อความปลอดภัยสูงสุด
วิธีจัดการกับ File Preview ที่ถูกปิดไป
สำหรับไฟล์ที่ถูกดาวน์โหลดมาจากอินเทอร์เน็ต (มี MotW) ผู้ใช้จะเห็นข้อความแจ้งเตือนแทนการแสดงตัวอย่าง: “The file you are attempting to preview could harm your computer. If you trust the file and the source you received it from, open it to view its contents.”
- การยกเลิกการบล็อกรายไฟล์: หากคุณมั่นใจในไฟล์นั้นจริง ๆ คุณสามารถคลิกขวาที่ไฟล์ เลือก Properties และคลิกปุ่ม Unblock ที่แท็บ General เพื่อเปิดใช้งาน Preview สำหรับไฟล์นั้น ๆ ได้
- มาตรการป้องกันระยะยาว: NTLM เป็นโปรโตคอลการยืนยันตัวตนที่เก่าและมีช่องโหว่เป็นที่รู้จัก การโจมตีเช่นนี้เน้นย้ำถึงความจำเป็นที่องค์กรต้องเร่งดำเนินการย้ายไปใช้โปรโตคอลที่ปลอดภัยกว่า เช่น Kerberos หรือการเปิดใช้งาน Extended Protection for Authentication (EPA) เพื่อลดความเสี่ยงของ NTLM Relay Attack
แม้ว่าการปิดฟีเจอร์ Preview อาจทำให้การทำงานของผู้ใช้บางรายติดขัด แต่ความเสียหายที่เกิดจากการรั่วไหลของ NTLM Hash สามารถนำไปสู่การยกระดับสิทธิ์และการยึดครองเครือข่ายทั้งหมดได้ มาตรการนี้จึงเป็นการป้องกันที่จำเป็นอย่างยิ่งในโลกไซเบอร์ปัจจุบัน
อ้างอิงจาก : https://www.webpronews.com/microsoft-disables-windows-11-file-explorer-previews-to-block-ntlm-attacks/