Σύμφωνα με πληροφορίες, τα προσαρμοσμένα θέματα μπορούν να χρησιμοποιηθούν για την κλοπή των διαπιστευτηρίων χρήστη των Windows 10
Ένα νέο εύρημα από ερευνητή ασφάλειας Τζίμι Μπέιν, που το αποκάλυψε στο Twitter, αποκαλύπτει μια ευπάθεια στη μηχανή θεμάτων των Windows 10 που μπορεί να χρησιμοποιηθεί για την κλοπή των διαπιστευτηρίων των χρηστών. Ένα ειδικό θέμα με κακή μορφή, όταν ανοίγει, ανακατευθύνει τους χρήστες σε μια σελίδα που προτρέπει τους χρήστες να εισαγάγουν τα διαπιστευτήριά τους.
Διαφήμιση
Όπως ίσως γνωρίζετε ήδη, τα Windows επιτρέπει την κοινή χρήση θεμάτων στις Ρυθμίσεις. Αυτό μπορεί να γίνει ανοίγοντας Ρυθμίσεις > Εξατομίκευση > Θέματα και, στη συνέχεια, επιλέγοντας "Αποθήκευση θέματος για κοινή χρήση" από το μενού. Αυτό θα δημιουργήσει ένα νέο *Αρχείο .deskthemepack που ο χρήστης μπορεί να ανεβάσει στο Διαδίκτυο, να στείλει μέσω email ή να μοιραστεί με άλλους μέσω ποικίλων μεθόδων. Άλλοι χρήστες μπορούν να κατεβάσουν τέτοια αρχεία και να τα εγκαταστήσουν με ένα κλικ.
Ένας εισβολέας μπορεί παρομοίως να δημιουργήσει ένα αρχείο «.theme» όπου η προεπιλεγμένη ρύθμιση ταπετσαρίας οδηγεί σε έναν ιστότοπο που απαιτεί έλεγχο ταυτότητας. Όταν ανυποψίαστοι χρήστες εισάγουν τα διαπιστευτήριά τους, ένας κατακερματισμός NTLM των στοιχείων αποστέλλεται στον ιστότοπο για έλεγχο ταυτότητας. Στη συνέχεια, οι μη σύνθετοι κωδικοί πρόσβασης διασπώνται χρησιμοποιώντας ειδικό λογισμικό αποσυναρμολόγησης.
[Credential Harvesting Trick] Χρησιμοποιώντας ένα αρχείο .theme των Windows, το κλειδί Wallpaper μπορεί να διαμορφωθεί ώστε να οδηγεί σε έναν απομακρυσμένο πόρο http/s που απαιτείται για την πιστοποίηση. Όταν ένας χρήστης ενεργοποιεί το αρχείο θέματος (π.χ. που ανοίγει από έναν σύνδεσμο/συνημμένο), εμφανίζεται στον χρήστη μια προτροπή πιστοποίησης των Windows.
Τι είναι τα αρχεία *.theme;
Τεχνικά, τα αρχεία *.theme είναι αρχεία *.ini που περιλαμβάνουν έναν αριθμό ενοτήτων που διαβάζουν τα Windows και αλλάζουν την εμφάνιση του λειτουργικού συστήματος σύμφωνα με τις οδηγίες που βρήκαν. Το αρχείο θέματος καθορίζει το χρώμα έμφασης, τις ταπετσαρίες που θα εφαρμοστούν και μερικές άλλες επιλογές.
Μία από τις ενότητες του έχει ως εξής.
[Πίνακας Ελέγχου\Επιφάνεια εργασίας]Ταπετσαρία=%WinDir%\web\wallpaper\Windows\img0.jpg
Καθορίζει την προεπιλεγμένη ταπετσαρία που εφαρμόζεται όταν ο χρήστης εγκαθιστά το θέμα. Αντί για την τοπική διαδρομή, δείχνει ο ερευνητής, μπορεί να οριστεί σε έναν απομακρυσμένο πόρο που μπορεί να χρησιμοποιηθεί για να κάνει τον χρήστη να εισαγάγει τα διαπιστευτήριά του.
Το κλειδί ταπετσαρίας βρίσκεται κάτω από την ενότητα "Πίνακας Ελέγχου\Desktop" του αρχείου .theme. Άλλα κλειδιά ενδέχεται να χρησιμοποιηθούν με τον ίδιο τρόπο και αυτό μπορεί επίσης να λειτουργήσει για την αποκάλυψη κατακερματισμού netNTLM όταν έχει οριστεί για απομακρυσμένες τοποθεσίες αρχείων, λέει ο Jimmy Bayne.
Ο ερευνητής παρέχει μια μέθοδος μετριασμού του προβλήματος.
Από αμυντική άποψη, μπλοκ/εκ νέου συσχέτιση/κυνήγι για επεκτάσεις "theme", "themepack", "desktopthemepackfile". Στα προγράμματα περιήγησης, στους χρήστες θα πρέπει να παρουσιάζεται μια επιταγή πριν από το άνοιγμα. Άλλα vulns CVE έχουν αποκαλυφθεί τα τελευταία χρόνια, επομένως αξίζει να αντιμετωπιστούν και να μετριαστούν
Πηγή: Neowin
