Съобщава се, че персонализираните теми могат да се използват за кражба на потребителски идентификационни данни на Windows 10
Ново откритие от изследовател по сигурността Джими Бейн, който го разкри в Twitter, разкрива уязвимост в двигателя за теми на Windows 10, който може да се използва за кражба на идентификационни данни на потребителите. Специална неправилно формирана тема, когато се отвори, пренасочва потребителите към страница, която подканва потребителите да въведат своите идентификационни данни.
Както може би вече знаете, Windows позволява споделяне на теми в Настройки. Това може да стане, като отворите Настройки > Персонализиране > Теми и след това като изберете "Запазете темата за споделяне“ от менюто. Това ще създаде нов *.deskthemepack файл които потребителят може да качва в интернет, да изпраща по имейл или да споделя с други чрез различни методи. Други потребители могат да изтеглят такива файлове и да ги инсталират с едно щракване.
Нападателят може по подобен начин да създаде файл „.theme“, в който настройката за тапет по подразбиране сочи към уебсайт, който изисква удостоверяване. Когато нищо неподозиращи потребители въвеждат своите идентификационни данни, NTLM хеш на детайлите се изпраща на сайта за удостоверяване. След това несложните пароли се разбиват с помощта на специален софтуер за дехеширане.
[Трък за събиране на идентификационни данни] Използвайки файл .theme на Windows, клавишът за тапет може да бъде конфигуриран да сочи към отдалечен изискван за удостоверяване http/s ресурс. Когато потребител активира тематичния файл (например отворен от връзка/прикачен файл), на потребителя се показва подкана за кредит на Windows.
Какво представляват *.theme файловете?
Технически, *.theme файловете са *.ini файлове, които включват редица секции, които Windows чете и променя външния вид на операционната система според инструкциите, които е намерил. Файлът с темата посочва цвета на акцента, тапетите за прилагане и няколко други опции.
Един от неговите раздели изглежда по следния начин.
[Контролен панел\Desktop]Wallpaper=%WinDir%\web\wallpaper\Windows\img0.jpg
Той определя тапета по подразбиране, приложен, когато потребителят инсталира темата. Вместо локалния път, посочва изследователят, той може да бъде настроен към отдалечен ресурс, който може да се използва, за да накара потребителя да въведе своите идентификационни данни.
Ключът за тапета се намира под секцията "Контролен панел\Desktop" на файла .theme. Други ключове може да се използват по същия начин и това може да работи и за разкриване на хеш netNTLM, когато е зададено за отдалечени файлови местоположения, казва Джими Бейн.
Изследователят предоставя метод за смекчаване на проблема.
От защитна гледна точка, блокирайте/повторно асоциирайте/търсете разширения "тема", "темапак", "десктоптемапакфайл". В браузърите потребителите трябва да получат проверка преди отваряне. Други CVE vulns бяха разкрити през последните години, така че си струва да се обърне внимание и да се смекчи
Източник: Neowin