Berichten zufolge können benutzerdefinierte Designs verwendet werden, um die Anmeldeinformationen von Windows 10-Benutzern zu stehlen
Eine neue Erkenntnis des Sicherheitsforschers Jimmy Bayne, der es auf Twitter enthüllt hat, legt eine Schwachstelle in der Theme-Engine von Windows 10 offen, mit der sich die Anmeldeinformationen von Benutzern stehlen lassen. Ein spezielles fehlerhaftes Design leitet Benutzer beim Öffnen auf eine Seite um, auf der Benutzer aufgefordert werden, ihre Anmeldeinformationen einzugeben.
Wie Sie vielleicht bereits wissen, ist Windows ermöglicht das Teilen von Themen in den Einstellungen. Dies können Sie tun, indem Sie Einstellungen > Personalisierung > Designs öffnen und dann auf "Thema zum Teilen speichern" aus dem Menü. Dadurch wird ein neues *.deskthemepack-Datei die der Benutzer ins Internet hochladen, per E-Mail versenden oder auf verschiedene Weise mit anderen teilen kann. Andere Benutzer können solche Dateien herunterladen und mit einem Klick installieren.
Ein Angreifer kann auf ähnliche Weise eine ‚.theme‘-Datei erstellen, in der die Standardhintergrundeinstellung auf eine Website verweist, die eine Authentifizierung erfordert. Wenn ahnungslose Benutzer ihre Anmeldeinformationen eingeben, wird ein NTLM-Hash der Details zur Authentifizierung an die Site gesendet. Nicht-komplexe Passwörter werden dann mit einer speziellen De-Hashing-Software geknackt.
[Credential Harvesting Trick] Unter Verwendung einer Windows .theme-Datei kann die Wallpaper-Taste so konfiguriert werden, dass sie auf eine Remote-Authentifizierungs-erforderliche http/s-Ressource verweist. Wenn ein Benutzer die Themendatei aktiviert (z. B. über einen Link/Anhang geöffnet), wird dem Benutzer eine Windows-Anmeldeaufforderung angezeigt.
Was sind *.theme-Dateien?
Technisch gesehen sind *.theme-Dateien *.ini-Dateien, die eine Reihe von Abschnitten enthalten, die Windows liest und das Aussehen des Betriebssystems gemäß den gefundenen Anweisungen ändert. Die Designdatei gibt die Akzentfarbe, die anzuwendenden Hintergrundbilder und einige andere Optionen an.
Einer seiner Abschnitte sieht wie folgt aus.
[Systemsteuerung\Desktop]Wallpaper=%WinDir%\web\wallpaper\Windows\img0.jpg
Es gibt das Standardhintergrundbild an, das angewendet wird, wenn der Benutzer das Design installiert. Anstelle des lokalen Pfads, den der Forscher zeigt, kann er auf eine Remote-Ressource eingestellt werden, die verwendet werden kann, um den Benutzer dazu zu bringen, seine Anmeldeinformationen einzugeben.
Der Hintergrundschlüssel befindet sich im Abschnitt "Systemsteuerung\Desktop" der .theme-Datei. Andere Schlüssel könnten möglicherweise auf die gleiche Weise verwendet werden, und dies könnte auch für die NetNTLM-Hash-Offenlegung funktionieren, wenn sie für entfernte Dateispeicherorte festgelegt ist, sagt Jimmy Bayne.
Der Forscher bietet eine Methode, um das Problem zu mildern.
Aus defensiver Sicht blockieren/re-assoziieren/jagen Sie nach den Erweiterungen "theme", "themepack", "desktopthemepackfile". In Browsern sollte dem Benutzer vor dem Öffnen ein Häkchen angezeigt werden. In den letzten Jahren wurden andere CVE-Schwachstellen aufgedeckt, daher lohnt es sich, sie anzugehen und zu mindern
Quelle: Neowin
