وبحسب ما ورد ، يمكن استخدام السمات المخصصة لسرقة بيانات اعتماد مستخدم Windows 10

كما تعلم بالفعل ، Windows يسمح بمشاركة الموضوعات في الاعدادات. يمكن القيام بذلك عن طريق فتح الإعدادات> التخصيص> السمات ثم تحديد "حفظ الموضوع للمشاركة"من القائمة. سيؤدي هذا إلى إنشاء *ملف .deskthemepack يمكن للمستخدم تحميلها على الإنترنت أو إرسالها عبر البريد الإلكتروني أو مشاركتها مع الآخرين عبر مجموعة متنوعة من الطرق. يمكن للمستخدمين الآخرين تنزيل هذه الملفات وتثبيتها بنقرة واحدة.

يمكن للمهاجم أيضًا إنشاء ملف ".theme" حيث يشير إعداد الخلفية الافتراضية إلى موقع ويب يتطلب مصادقة. عند قيام المستخدمين المطمئنين بإدخال بيانات الاعتماد الخاصة بهم ، يتم إرسال تجزئة NTLM للتفاصيل إلى الموقع للمصادقة. يتم بعد ذلك فتح كلمات المرور غير المعقدة باستخدام برنامج خاص لإلغاء التجزئة.

[خدعة تجميع بيانات الاعتماد] باستخدام ملف Windows .theme ، يمكن تكوين مفتاح خلفية الشاشة للإشارة إلى مورد http / s مطلوب المصادقة عن بُعد. عندما يقوم المستخدم بتنشيط ملف السمة (على سبيل المثال فتح من ارتباط / مرفق) ، يتم عرض مطالبة اعتماد Windows للمستخدم.

ما هي ملفات * .theme؟

من الناحية الفنية ، ملفات * .theme هي ملفات * .ini التي تتضمن عددًا من الأقسام التي يقرأها Windows ويغير مظهر نظام التشغيل وفقًا للإرشادات التي وجدها. يحدد ملف السمة لون التمييز والخلفيات المراد تطبيقها وبعض الخيارات الأخرى.

أحد أقسامه يبدو كما يلي.

[لوحة التحكم \ سطح المكتب]ورق الحائط =٪ WinDir٪ \ ويب \ ورق جدران \ Windows \ img

يوجد مفتاح خلفية الشاشة ضمن قسم "لوحة التحكم \ سطح المكتب" من ملف .theme. قد يتم استخدام مفاتيح أخرى بنفس الطريقة ، وقد يعمل هذا أيضًا مع كشف تجزئة netNTLM عند تعيينه لمواقع الملفات البعيدة ، كما يقول Jimmy Bayne.

يقدم الباحث طريقة للتخفيف من حدة المشكلة.

من منظور دفاعي ، قم بحظر / إعادة ربط / البحث عن امتدادات "theme" و "themepack" و "desktopthemepackfile". في المتصفحات ، يجب تقديم شيك للمستخدمين قبل فتحه. تم الكشف عن برامج مكافحة التطرف العنيف الأخرى في السنوات الأخيرة ، لذا فإن الأمر يستحق المعالجة والتخفيف

مصدر: نيووين