Kabarnya, tema khusus dapat digunakan untuk mencuri kredensial pengguna Windows 10
Temuan baru oleh peneliti keamanan Jimmy Bayne, yang telah mengungkapkannya di Twitter, mengungkapkan kerentanan di mesin tema Windows 10 yang dapat digunakan untuk mencuri kredensial pengguna. Tema cacat khusus, saat dibuka, mengarahkan pengguna ke halaman yang meminta pengguna memasukkan kredensial mereka.
Iklan
Seperti yang mungkin sudah Anda ketahui, Windows memungkinkan berbagi tema di Pengaturan. Ini dapat dilakukan dengan membuka Pengaturan > Personalisasi > Tema dan kemudian dengan memilih "Simpan tema untuk dibagikan" dari menunya. Ini akan membuat * baru.deskthemepack file bahwa pengguna dapat mengunggah ke Internet, mengirim melalui email, atau dapat berbagi dengan orang lain melalui berbagai metode. Pengguna lain dapat mengunduh file tersebut dan menginstalnya dengan satu klik.
Penyerang juga dapat membuat file '.theme' di mana pengaturan wallpaper default menunjuk ke situs web yang memerlukan otentikasi. Saat pengguna yang tidak curiga memasukkan kredensial mereka, hash NTLM dari detail dikirim ke situs untuk otentikasi. Kata sandi yang tidak rumit kemudian dibuka dengan menggunakan perangkat lunak de-hashing khusus.
[Trik Pemanenan Kredensial] Menggunakan file .theme Windows, kunci Wallpaper dapat dikonfigurasi untuk menunjuk ke sumber daya http/s jarak jauh yang diperlukan auth. Saat pengguna mengaktifkan file tema (misalnya dibuka dari tautan/lampiran), prompt kredensial Windows ditampilkan kepada pengguna.
Apa itu file *.theme?
Secara teknis, file *.theme adalah file *.ini yang menyertakan sejumlah bagian yang dibaca Windows dan mengubah tampilan OS sesuai petunjuk yang ditemukan. File tema menentukan warna aksen, wallpaper untuk diterapkan, dan beberapa opsi lainnya.
Salah satu bagiannya terlihat sebagai berikut.
[Panel Kontrol\Desktop]Wallpaper=%WinDir%\web\wallpaper\Windows\img0.jpg
Ini menentukan wallpaper default yang diterapkan saat pengguna menginstal tema. Alih-alih jalur lokal, menunjuk peneliti, itu dapat diatur ke sumber daya jarak jauh yang dapat digunakan untuk membuat pengguna memasukkan kredensialnya.
Kunci wallpaper terletak di bawah bagian "Control Panel\Desktop" dari file .theme. Kunci lain mungkin dapat digunakan dengan cara yang sama, dan ini juga dapat berfungsi untuk pengungkapan hash netNTLM saat disetel untuk lokasi file jarak jauh, kata Jimmy Bayne.
Peneliti menyediakan metode untuk mengurangi masalah.
Dari perspektif defensif, blokir/kaitkan kembali/buru ekstensi "tema", "paket tema", "desktopthemepackfile". Di browser, pengguna harus diberi tanda centang sebelum membuka. Vuln CVE lainnya telah diungkapkan dalam beberapa tahun terakhir, jadi perlu ditangani dan dikurangi
Sumber: Neowin