Väidetavalt saab kohandatud teemasid kasutada Windows 10 kasutaja mandaatide varastamiseks

Nagu te juba teate, on Windows võimaldab teemasid jagada jaotises Seaded. Seda saab teha, avades Seaded > Isikupärastamine > Teemad ja seejärel valides "Salvestage teema jagamiseks" menüüst. See loob uue *.deskthemepack faili mida kasutaja saab Internetti üles laadida, e-posti teel saata või teistega jagada erinevatel viisidel. Teised kasutajad saavad selliseid faile alla laadida ja ühe klõpsuga installida.

Ründaja võib samamoodi luua .theme-faili, mille taustapildi vaikeseade osutab veebisaidile, mis nõuab autentimist. Kui pahaaimamatud kasutajad sisestavad oma mandaadi, saadetakse saidile autentimiseks üksikasjade NTLM-räsi. Mittekeerulised paroolid murtakse seejärel lahti spetsiaalse räsi eemaldamise tarkvara abil.

[Mandaadi kogumise trikk] Windowsi .theme faili kasutades saab taustapildi klahvi konfigureerida osutama kaugautentimise nõutavale http/s-ressursile. Kui kasutaja aktiveerib teemafaili (nt avatakse lingist/manusest), kuvatakse kasutajale Windowsi cred viip.

Mis on *.theme failid?

Tehniliselt on *.theme-failid *.ini-failid, mis sisaldavad mitmeid jaotisi, mida Windows loeb ja muudab OS-i välimust vastavalt leitud juhistele. Teemafail määrab aktsentvärvi, rakendatavad taustapildid ja mõned muud valikud.

Üks selle jaotistest näeb välja järgmine.

[Juhtpaneel\Töölaud]Wallpaper=%WinDir%\web\wallpaper\Windows\img0.jpg

Taustapildi klahv asub .theme-faili jaotises "Juhtpaneel\Töölaud". Teisi võtmeid võidakse kasutada samal viisil ja see võib toimida ka netNTLM-i räsi avalikustamiseks, kui see on määratud kaugfailide asukohtadele, ütleb Jimmy Bayne.

Teadlane pakub meetod probleemi leevendamiseks.

Kaitse seisukohast blokeerige/seostage/otsige laiendusi "teema", "teemapakett", "desktopthemepackfile". Brauserites tuleks kasutajatele enne avamist esitada tšekk. Viimastel aastatel on avalikustatud ka teisi CVE haavandeid, seega tasub sellega tegeleda ja leevendada

Allikas: Neowin