Windows Tips & News

Secondo quanto riferito, i temi personalizzati possono essere utilizzati per rubare le credenziali dell'utente di Windows 10

click fraud protection

Una nuova scoperta del ricercatore sulla sicurezza Jimmy Bayne, che lo ha rivelato su Twitter, rivela una vulnerabilità nel motore dei temi di Windows 10 che può essere utilizzata per rubare le credenziali degli utenti. Uno speciale tema malformato, una volta aperto, reindirizza gli utenti a una pagina che richiede agli utenti di inserire le proprie credenziali.

Come forse già saprai, Windows consente la condivisione di temi in Impostazioni. Questo può essere fatto aprendo Impostazioni > Personalizzazione > Temi e quindi selezionando "Salva il tema per la condivisione" dal menù. Questo creerà un nuovo *.deskthemepack file che l'utente può caricare su Internet, inviare via e-mail o condividere con altri tramite una varietà di metodi. Altri utenti possono scaricare tali file e installarli con un clic.

Allo stesso modo, un utente malintenzionato può creare un file ".theme" in cui l'impostazione predefinita dello sfondo punta a un sito Web che richiede l'autenticazione. Quando gli utenti ignari immettono le proprie credenziali, al sito viene inviato un hash NTLM dei dettagli per l'autenticazione. Le password non complesse vengono quindi craccate utilizzando uno speciale software di de-hashing.

[Trucco per la raccolta delle credenziali] Utilizzando un file .theme di Windows, il tasto Wallpaper può essere configurato per puntare a una risorsa http/s remota richiesta dall'autenticazione. Quando un utente attiva il file del tema (ad esempio aperto da un collegamento/allegato), all'utente viene visualizzata una richiesta di credenziali di Windows.

Cosa sono i file *.theme?

Tecnicamente, i file *.theme sono file *.ini che includono una serie di sezioni che Windows legge e modifica l'aspetto del sistema operativo in base alle istruzioni trovate. Il file del tema specifica il colore dell'accento, gli sfondi da applicare e alcune altre opzioni.

Una delle sue sezioni si presenta come segue.

[Pannello di controllo\Desktop]Sfondo=%WinDir%\web\wallpaper\Windows\img0.jpg

Specifica lo sfondo predefinito applicato quando l'utente installa il tema. Al posto del percorso locale, punta il ricercatore, si può impostare una risorsa remota che può essere utilizzata per far inserire all'utente le proprie credenziali.

La chiave dello sfondo si trova nella sezione "Pannello di controllo\Desktop" del file .theme. Altre chiavi potrebbero essere utilizzate allo stesso modo e questo potrebbe funzionare anche per la divulgazione di hash netNTLM quando impostato per posizioni di file remoti, afferma Jimmy Bayne.

Il ricercatore fornisce un metodo per mitigare il problema.

Da una prospettiva difensiva, blocca/riassocia/cerca le estensioni "theme", "themepack", "desktopthemepackfile". Nei browser, agli utenti dovrebbe essere presentato un assegno prima dell'apertura. Negli ultimi anni sono state divulgate altre vulnerabilità CVE, quindi vale la pena affrontarle e mitigarle

Fonte: Neowin

Edge riceve una nuovissima funzione Aree di lavoro per organizzare le tue schede

Edge riceve una nuovissima funzione Aree di lavoro per organizzare le tue schede

Il browser Web di Microsoft sta ottenendo un'altra funzionalità di produttività. Oltre ai gruppi ...

Leggi di più

Ciak_AMP_v1.1. Winamp Skin

Sergey Tkachenko è uno sviluppatore di software russo che ha fondato Winaero nel 2011. Su questo...

Leggi di più

Microsoft sposta Defender ATP per Mac dalle estensioni del kernel alle estensioni del sistema

Microsoft sposta Defender ATP per Mac dalle estensioni del kernel alle estensioni del sistema

Gli utenti Apple potrebbero sapere che l'azienda si sta allontanando dalle estensioni del kernel,...

Leggi di più