Údajně lze vlastní motivy použít ke krádeži přihlašovacích údajů uživatele Windows 10
Nové zjištění bezpečnostního výzkumníka Jimmy Bayne, který to odhalil na Twitteru, odhaluje zranitelnost v enginu motivů Windows 10, kterou lze použít ke krádeži přihlašovacích údajů uživatelů. Speciální deformovaný motiv při otevření přesměruje uživatele na stránku, která uživatele vyzve k zadání jejich přihlašovacích údajů.
Jak už možná víte, Windows umožňuje sdílení témat v Nastavení. To lze provést otevřením Nastavení > Přizpůsobení > Motivy a poté výběrem na „Uložit motiv pro sdílení“ z nabídky. Tím se vytvoří nový *soubor .deskthemepack které může uživatel nahrát na internet, odeslat e-mailem nebo je může sdílet s ostatními různými způsoby. Ostatní uživatelé si mohou takové soubory stáhnout a nainstalovat jedním kliknutím.
Útočník může podobně vytvořit soubor „.theme“, kde výchozí nastavení tapety odkazuje na web, který vyžaduje ověření. Když nic netušící uživatelé zadají své přihlašovací údaje, na web se za účelem ověření odešle hash NTLM s podrobnostmi. Nekomplexní hesla jsou poté prolomena pomocí speciálního dehašovacího softwaru.
[Trik shromažďování pověření] Pomocí souboru Windows .theme lze klíč tapety nakonfigurovat tak, aby ukazoval na vzdálený zdroj http/s vyžadující ověření. Když uživatel aktivuje soubor motivu (např. otevře z odkazu/přílohy), zobrazí se uživateli výzva k pověření systému Windows.
Co jsou soubory *.theme?
Technicky jsou soubory *.theme soubory *.ini, které obsahují řadu oddílů, které systém Windows čte a mění vzhled operačního systému podle nalezených pokynů. Soubor motivu určuje barvu zvýraznění, tapety, které se mají použít, a několik dalších možností.
Jedna z jeho částí vypadá následovně.
[Ovládací panely\Desktop]Tapeta=%WinDir%\web\wallpaper\Windows\img0.jpg
Určuje výchozí tapetu použitou při instalaci motivu uživatelem. Místo místní cesty, ukazuje výzkumník, může být nastavena na vzdálený zdroj, který lze použít k tomu, aby uživatel zadal své přihlašovací údaje.
Tlačítko tapety se nachází v části "Ovládací panely\Desktop" souboru .theme. Jiné klíče mohou být použity stejným způsobem, a to může také fungovat pro zpřístupnění hash netNTLM, když je nastaveno pro vzdálená umístění souborů, říká Jimmy Bayne.
Výzkumník poskytuje způsob, jak problém zmírnit.
Z obranného hlediska blokujte/znovu přiřazujte/hledejte rozšíření „téma“, „themepack“, „desktopthemepackfile“. V prohlížečích by se uživatelům před otevřením měla zobrazit kontrola. V posledních letech byly odhaleny další CVE vulns, takže stojí za to je řešit a zmírnit
Zdroj: Neowin
