Темы Windows 10 могут использоваться для кражи учетных данных пользователей

Новое открытие, которым поделился исследователь безопасности Джимми Бэйн, указывает на лазейку в настройках тем Windows 10, которая может позволить злоумышленникам украсть учетные данные пользователей, создав специальную тему для проведения атаки «Pass-the-Hash». Возможность установки отдельных темы из других источников позволяет злоумышленникам создавать файлы вредоносных тем, которые при открытии перенаправляют пользователей на страницу, предлагающую пользователям ввести свои учетные данные.



Windows позволяет пользователям обмениваться темами через пользовательский интерфейс приложения Настройки, щелкнув правой кнопкой мыши активную тему в Персонализация> Темы и выбрав «Сохранить тему для совместного использования». Это создает файл «.deskthemepack» для совместного использования через электронную почту или другие источники, который затем можно загрузить и установить. Злоумышленники также могут создать файл «.theme», в котором настройка обоев по умолчанию указывает на веб-сайт, требующий аутентификации. Когда ничего не подозревающие пользователи вводят свои учетные данные, NTLM-хэш данных отправляется на сайт для аутентификации. Затем несложные пароли взламываются с помощью специального программного обеспечения для де-хэширования.

[Credential Harvesting Trick] Using a Windows .theme file, the Wallpaper key can be configured to point to a remote auth-required http/s resource. When a user activates the theme file (e.g. opened from a link/attachment), a Windows cred prompt is displayed to the user 1/4 pic.twitter.com/rgR3a9KP6Q

— bohops (@bohops) September 5, 2020

Один из способов защиты от таких файлов, предложенный исследователем, - это поиск и блокировка расширений, таких как «.theme», «.themepack» и «.desktopthemepackfile». Кроме того, BleepingComputer перечислил несколько альтернатив через групповую политику, которая ограничивает отправку хэшированных учетных данных NTLM на удаленные узлы. Однако публикация предупреждает, что это может повлиять на корпоративные настройки, требующие использования этой функции для аутентификации.



Бейн добавил, что эти результаты были переданы в Microsoft Security Response Center (MSRC). Тем не менее, ошибка якобы не была исправлена, потому что это была «особенность дизайна». Неясно, планирует ли компания исправить ошибку, опубликованную в этом раскрытии, или она изменит структуру файлов для тем, чтобы не позволить злоумышленникам использовать ее для указания на сайты, требующие аутентификации.

Узнать другие подробности можно здесь.