Állítólag egyéni témákat lehet használni a Windows 10 felhasználói hitelesítő adatainak ellopására
Egy biztonsági kutató új megállapítása Jimmy Bayne, aki felfedte a Twitteren, felfedi a Windows 10 témamotorjának sérülékenységét, amely felhasználható a felhasználók hitelesítő adatainak ellopására. Egy speciális rosszul formázott téma megnyitásakor átirányítja a felhasználókat egy olyan oldalra, amely felkéri a felhasználókat a hitelesítési adatok megadására.
Amint azt már Ön is tudja, a Windows lehetővé teszi a témák megosztását a Beállításokban. Ezt megteheti a Beállítások > Testreszabás > Témák megnyitásával, majd a "Mentse el a témát megosztáshoz" a menüből. Ezzel egy új *.deskthemepack fájl amelyeket a felhasználó feltölthet az internetre, elküldhet e-mailben vagy megoszthat másokkal különféle módszerekkel. Más felhasználók egy kattintással letölthetik és telepíthetik ezeket a fájlokat.
A támadó ehhez hasonlóan létrehozhat egy „.theme” fájlt, amelyben az alapértelmezett háttérképbeállítás egy hitelesítést igénylő webhelyre mutat. Amikor a gyanútlan felhasználók megadják hitelesítési adataikat, az adatok NTLM-kivonatát küldik el a webhelyre hitelesítés céljából. A nem összetett jelszavakat ezután speciális kivonateltávolító szoftver segítségével feltörik.
[Credential Harvesting Trick] A Windows .theme fájl használatával a Háttérkép kulcs konfigurálható úgy, hogy egy távoli hitelesítéshez szükséges http/s erőforrásra mutasson. Amikor egy felhasználó aktiválja a témafájlt (például egy hivatkozásból/mellékletből megnyitva), megjelenik egy Windows cred prompt a felhasználó számára.
Mik azok a *.theme fájlok?
Technikailag a *.theme fájlok *.ini fájlok, amelyek számos szakaszt tartalmaznak, amelyeket a Windows elolvas, és a talált utasításoknak megfelelően megváltoztatja az operációs rendszer megjelenését. A témafájl megadja az ékezetes színt, az alkalmazandó háttérképeket és néhány egyéb lehetőséget.
Egyik része a következőképpen néz ki.
[Vezérlőpult\Asztal]Wallpaper=%WinDir%\web\wallpaper\Windows\img0.jpg
Megadja a téma telepítésekor alkalmazott alapértelmezett háttérképet. A helyi elérési út helyett – mutat rá a kutató – beállítható egy távoli erőforrásra, amely segítségével a felhasználó megadhatja a hitelesítő adatait.
A háttérkép gombja a .theme fájl „Vezérlőpult\Asztal” része alatt található. Más kulcsok is használhatók ugyanilyen módon, és ez a netNTLM hash közzétételénél is működhet, ha távoli fájlhelyekre van beállítva, mondja Jimmy Bayne.
A kutató biztosítja módszer a probléma enyhítésére.
Védelmi szempontból blokkolja/újra társítsa/keresse a "theme", "themepack", "desktopthemepackfile" kiterjesztéseket. A böngészőkben a felhasználóknak csekket kell adni a megnyitás előtt. Az elmúlt években más CVE biztonsági réseket is nyilvánosságra hoztak, ezért érdemes foglalkozni és enyhíteni
Forrás: Neowin
