Navodno se prilagođene teme mogu koristiti za krađu korisničkih vjerodajnica sustava Windows 10
Novo otkriće istraživača sigurnosti Jimmy Bayne, koji je to otkrio na Twitteru, otkriva ranjivost u motoru tema sustava Windows 10 koji se može koristiti za krađu vjerodajnica korisnika. Posebna neispravno oblikovana tema, kada se otvori, preusmjerava korisnike na stranicu koja od korisnika traži da unesu svoje vjerodajnice.
Kao što možda već znate, Windows omogućuje dijeljenje tema u Postavkama. To se može učiniti otvaranjem Postavke > Personalizacija > Teme, a zatim odabirom "Spremi temu za dijeljenje" iz jelovnika. Ovo će stvoriti novu *.deskthemepack datoteka koje korisnik može prenijeti na internet, poslati putem e-pošte ili podijeliti s drugima na različite načine. Ostali korisnici mogu preuzeti takve datoteke i instalirati ih jednim klikom.
Napadač može na sličan način stvoriti datoteku ".theme" u kojoj zadana postavka pozadine ukazuje na web stranicu koja zahtijeva autentifikaciju. Kada nesuđeni korisnici unesu svoje vjerodajnice, NTLM hash pojedinosti šalje se web mjestu radi provjere autentičnosti. Nesložene lozinke se zatim otvaraju pomoću posebnog softvera za dehaširanje.
[Trik za prikupljanje vjerodajnica] Koristeći Windows .theme datoteku, tipka za pozadinu može se konfigurirati tako da pokazuje na udaljeni http/s resurs za koji je potreban auth. Kada korisnik aktivira datoteku teme (npr. otvorenu s veze/privitka), korisniku se prikazuje upit o vjerodostojnosti sustava Windows.
Što su datoteke *.theme?
Tehnički, *.theme datoteke su *.ini datoteke koje uključuju niz odjeljaka koje Windows čita i mijenja izgled OS-a prema uputama koje je pronašao. Datoteka teme navodi boju naglaska, pozadine koje treba primijeniti i nekoliko drugih opcija.
Jedan od njegovih odjeljaka izgleda ovako.
[Upravljačka ploča\Radna površina]Pozadina=%WinDir%\web\wallpaper\Windows\img0.jpg
Određuje zadanu pozadinu koja se primjenjuje kada korisnik instalira temu. Umjesto lokalnog puta, ukazuje istraživač, može se postaviti na udaljeni resurs koji se može koristiti da bi korisnik unio svoje vjerodajnice.
Tipka za pozadinu nalazi se ispod odjeljka "Upravljačka ploča\Radna površina" .theme datoteke. Drugi ključevi se mogu koristiti na isti način, a to također može raditi za netNTLM hash otkrivanje kada je postavljeno za udaljene lokacije datoteka, kaže Jimmy Bayne.
Istraživač pruža metoda za ublažavanje problema.
Iz obrambene perspektive, blokirajte/ponovno udružite/tražite ekstenzije "theme", "themepack", "desktopthemepackfile". U preglednicima bi se korisnicima prije otvaranja trebala prikazati provjera. Ostali CVE vulns otkriveni su posljednjih godina, pa ih vrijedi pozabaviti i ublažiti
Izvor: Neowin
