Tietojen mukaan mukautettuja teemoja voidaan käyttää Windows 10 -käyttäjätietojen varastamiseen
Turvallisuustutkijan uusi löytö Jimmy Bayne, joka on paljastanut sen Twitterissä, paljastaa Windows 10:n teemamoottorin haavoittuvuuden, jota voidaan käyttää käyttäjien tunnistetietojen varastamiseen. Erityinen väärin muotoiltu teema, kun se avataan, ohjaa käyttäjät sivulle, joka kehottaa käyttäjiä antamaan valtuustietonsa.
Kuten ehkä jo tiedät, Windows mahdollistaa teemojen jakamisen Asetuksissa. Tämä voidaan tehdä avaamalla Asetukset > Mukauttaminen > Teemat ja valitsemalla sitten "Tallenna teema jakamista varten" valikosta. Tämä luo uuden *.deskthemepack-tiedosto joita käyttäjä voi ladata Internetiin, lähettää sähköpostitse tai jakaa muiden kanssa useilla eri tavoilla. Muut käyttäjät voivat ladata tällaisia tiedostoja ja asentaa ne yhdellä napsautuksella.
Hyökkääjä voi samoin luoda .theme-tiedoston, jossa taustakuvan oletusasetus osoittaa todennusta vaativaan verkkosivustoon. Kun hyväuskoiset käyttäjät syöttävät valtuustietonsa, NTLM-tiiviste lähetetään sivustolle todennusta varten. Ei-monimutkaiset salasanat murretaan sitten auki erityisellä hajautusohjelmistolla.
[Credential Harvesting Trick] Käyttämällä Windowsin .theme-tiedostoa Wallpaper-avain voidaan määrittää osoittamaan etätodennusta edellyttävää http/s-resurssia. Kun käyttäjä aktivoi teematiedoston (esim. avataan linkistä/liitteestä), käyttäjälle näytetään Windows-tunnus.
Mitä ovat *.theme-tiedostot?
Teknisesti *.theme-tiedostot ovat *.ini-tiedostoja, jotka sisältävät useita osioita, jotka Windows lukee ja muuttaa käyttöjärjestelmän ulkoasua löytämiensä ohjeiden mukaisesti. Teematiedosto määrittää korostusvärin, käytettävät taustakuvat ja muutamia muita vaihtoehtoja.
Yksi sen osista näyttää seuraavalta.
[Ohjauspaneeli\Työpöytä]Wallpaper=%WinDir%\web\wallpaper\Windows\img0.jpg
Se määrittää oletustaustakuvan, jota käytetään, kun käyttäjä asentaa teeman. Paikallisen polun sijaan, osoittaa tutkija, se voidaan asettaa etäresurssiksi, jonka avulla käyttäjä voidaan saada antamaan valtuustietonsa.
Taustakuvanäppäin sijaitsee .theme-tiedoston Ohjauspaneeli\Työpöytä-osiossa. Muita avaimia voidaan mahdollisesti käyttää samalla tavalla, ja tämä voi toimia myös netNTLM-hajautustietojen paljastamisessa, kun se on asetettu etätiedostojen sijainneille, Jimmy Bayne sanoo.
Tutkija tarjoaa tapa lieventää ongelmaa.
Puolustusnäkökulmasta katsottuna estä/liitä uudelleen/etsi "teema", "teemapaketti" tai "desktopthemepackfile" -laajennuksia. Selaimessa käyttäjille tulee esittää sekki ennen avaamista. Muita CVE-haavoittuvuuksia on paljastettu viime vuosina, joten niihin kannattaa puuttua ja lieventää
Lähde: Neowin
