გავრცელებული ინფორმაციით, მორგებული თემების გამოყენება შესაძლებელია Windows 10-ის მომხმარებლის რწმუნებათა სიგელების მოსაპარად
უსაფრთხოების მკვლევარის ახალი აღმოჩენა ჯიმი ბეინი, რომელმაც ის Twitter-ზე გამოაქვეყნა, გამოაქვეყნა დაუცველობა Windows 10-ის თემების ძრავაში, რომელიც შეიძლება გამოყენებულ იქნას მომხმარებლების რწმუნებათა სიგელების მოსაპარად. სპეციალური არასწორად ფორმირებული თემა გახსნისას მომხმარებლებს გადამისამართებს გვერდზე, რომელიც მომხმარებლებს სთხოვს შეიყვანონ თავიანთი რწმუნებათა სიგელები.
როგორც უკვე იცით, Windows საშუალებას აძლევს თემების გაზიარებას პარამეტრებში. ეს შეიძლება გაკეთდეს პარამეტრების > პერსონალიზაციის > თემების გახსნით და შემდეგ "-ის არჩევითშეინახეთ თემა გაზიარებისთვის" მენიუდან. ეს შექმნის ახალ *.deskthemepack ფაილი რომ მომხმარებელს შეუძლია ატვირთოს ინტერნეტში, გაუგზავნოს ელექტრონული ფოსტით ან გაუზიაროს სხვებს სხვადასხვა მეთოდით. სხვა მომხმარებლებს შეუძლიათ ჩამოტვირთოთ ასეთი ფაილები და დააინსტალირონ ერთი დაწკაპუნებით.
თავდამსხმელს შეუძლია ანალოგიურად შექმნას „.theme“ ფაილი, სადაც ფონის ნაგულისხმევი პარამეტრი მიუთითებს ვებსაიტზე, რომელიც საჭიროებს ავტორიზაციას. როდესაც უეჭველი მომხმარებლები შეაქვთ თავიანთი რწმუნებათა სიგელები, დეტალების NTLM ჰეში იგზავნება საიტზე ავთენტიფიკაციისთვის. შემდეგ არაკომპლექსური პაროლები იშლება სპეციალური დეჰეშირების პროგრამული უზრუნველყოფის გამოყენებით.
[Credential Harvesting Trick] Windows .theme ფაილის გამოყენებით, Wallpaper კლავიშის კონფიგურაცია შესაძლებელია, რათა მიუთითოს დისტანციური ავტორიზაციის საჭირო http/s რესურსზე. როდესაც მომხმარებელი ააქტიურებს თემის ფაილს (მაგ. გახსნილი ბმულიდან/დანართიდან), მომხმარებლისთვის გამოჩნდება Windows cred-ის მოთხოვნა.
რა არის *.theme ფაილები?
ტექნიკურად, *.theme ფაილები არის *.ini ფაილები, რომლებიც მოიცავს მთელ რიგ სექციებს, რომლებსაც Windows კითხულობს და ცვლის OS-ის გარეგნობას მის მიერ ნაპოვნი ინსტრუქციების მიხედვით. თემის ფაილი განსაზღვრავს აქცენტის ფერს, გამოსაყენებელ ფონებს და რამდენიმე სხვა ვარიანტს.
მისი ერთ-ერთი განყოფილება ასე გამოიყურება.
[პანელი\Desktop]ფონი=%WinDir%\web\Wallpaper\Windows\img0.jpg
ის განსაზღვრავს ნაგულისხმევ ფონს, რომელიც გამოიყენება თემის დაყენებისას. ადგილობრივი ბილიკის ნაცვლად, მიუთითებს მკვლევარი, ის შეიძლება დაყენდეს დისტანციურ რესურსზე, რომელიც შეიძლება გამოყენებულ იქნას მომხმარებლის რწმუნებათა სიგელების შესაყვანად.
ფონის გასაღები მდებარეობს .theme ფაილის განყოფილებაში "Control Panel\Desktop". სხვა გასაღებები შეიძლება გამოყენებულ იქნას იმავე გზით, და ეს შეიძლება ასევე იმუშაოს netNTLM ჰეშის გამჟღავნებისთვის, როდესაც დაყენებულია ფაილების დისტანციური მდებარეობებისთვის, ამბობს ჯიმი ბეინი.
მკვლევარი უზრუნველყოფს პრობლემის შემსუბუქების მეთოდი.
თავდაცვითი პერსპექტივიდან, დაბლოკეთ/ხელახალი ასოცირება/ნადირობა "theme", "themepack", "desktopthemepackfile" გაფართოებებზე. ბრაუზერებში მომხმარებლებს უნდა წარუდგინონ ჩეკი გახსნამდე. სხვა CVE vulns იყო გამჟღავნებული ბოლო წლებში, ასე რომ ღირს მიმართვა და შერბილება
წყარო: ნეოვინი
