Secondo quanto riferito, i temi personalizzati possono essere utilizzati per rubare le credenziali dell'utente di Windows 10
Una nuova scoperta del ricercatore sulla sicurezza Jimmy Bayne, che lo ha rivelato su Twitter, rivela una vulnerabilità nel motore dei temi di Windows 10 che può essere utilizzata per rubare le credenziali degli utenti. Uno speciale tema malformato, una volta aperto, reindirizza gli utenti a una pagina che richiede agli utenti di inserire le proprie credenziali.
Come forse già saprai, Windows consente la condivisione di temi in Impostazioni. Questo può essere fatto aprendo Impostazioni > Personalizzazione > Temi e quindi selezionando "Salva il tema per la condivisione" dal menù. Questo creerà un nuovo *.deskthemepack file che l'utente può caricare su Internet, inviare via e-mail o condividere con altri tramite una varietà di metodi. Altri utenti possono scaricare tali file e installarli con un clic.
Allo stesso modo, un utente malintenzionato può creare un file ".theme" in cui l'impostazione predefinita dello sfondo punta a un sito Web che richiede l'autenticazione. Quando gli utenti ignari immettono le proprie credenziali, al sito viene inviato un hash NTLM dei dettagli per l'autenticazione. Le password non complesse vengono quindi craccate utilizzando uno speciale software di de-hashing.
[Trucco per la raccolta delle credenziali] Utilizzando un file .theme di Windows, il tasto Wallpaper può essere configurato per puntare a una risorsa http/s remota richiesta dall'autenticazione. Quando un utente attiva il file del tema (ad esempio aperto da un collegamento/allegato), all'utente viene visualizzata una richiesta di credenziali di Windows.
Cosa sono i file *.theme?
Tecnicamente, i file *.theme sono file *.ini che includono una serie di sezioni che Windows legge e modifica l'aspetto del sistema operativo in base alle istruzioni trovate. Il file del tema specifica il colore dell'accento, gli sfondi da applicare e alcune altre opzioni.
Una delle sue sezioni si presenta come segue.
[Pannello di controllo\Desktop]Sfondo=%WinDir%\web\wallpaper\Windows\img0.jpg
Specifica lo sfondo predefinito applicato quando l'utente installa il tema. Al posto del percorso locale, punta il ricercatore, si può impostare una risorsa remota che può essere utilizzata per far inserire all'utente le proprie credenziali.
La chiave dello sfondo si trova nella sezione "Pannello di controllo\Desktop" del file .theme. Altre chiavi potrebbero essere utilizzate allo stesso modo e questo potrebbe funzionare anche per la divulgazione di hash netNTLM quando impostato per posizioni di file remoti, afferma Jimmy Bayne.
Il ricercatore fornisce un metodo per mitigare il problema.
Da una prospettiva difensiva, blocca/riassocia/cerca le estensioni "theme", "themepack", "desktopthemepackfile". Nei browser, agli utenti dovrebbe essere presentato un assegno prima dell'apertura. Negli ultimi anni sono state divulgate altre vulnerabilità CVE, quindi vale la pena affrontarle e mitigarle
Fonte: Neowin
