보고된 바에 따르면 사용자 지정 테마를 사용하여 Windows 10 사용자 자격 증명을 훔칠 수 있습니다.

이미 알고 계시겠지만 Windows 테마 공유 허용 설정에서. 설정 > 개인 설정 > 테마를 연 다음 "공유할 테마 저장" 메뉴에서. 이것은 새로운 *를 생성할 것입니다..deskthemepack 파일 사용자가 인터넷에 업로드하거나 이메일을 통해 보내거나 다양한 방법을 통해 다른 사람과 공유할 수 있습니다. 다른 사용자는 이러한 파일을 다운로드하여 클릭 한 번으로 설치할 수 있습니다.

공격자는 유사하게 기본 배경 화면 설정이 인증이 필요한 웹사이트를 가리키는 '.theme' 파일을 만들 수 있습니다. 의심하지 않는 사용자가 자격 증명을 입력하면 세부 정보의 NTLM 해시가 인증을 위해 사이트로 전송됩니다. 복잡하지 않은 암호는 특수 디해싱 소프트웨어를 사용하여 열 수 있습니다.

[Credential Harvesting Trick] Windows .theme 파일을 사용하여 Wallpaper 키가 원격 인증이 필요한 http/s 리소스를 가리키도록 구성할 수 있습니다. 사용자가 테마 파일을 활성화하면(예: 링크/첨부 파일에서 열림) Windows 자격 증명 프롬프트가 사용자에게 표시됩니다.

*.theme 파일이란 무엇입니까?

기술적으로 *.theme 파일은 Windows가 찾은 지침에 따라 OS의 모양을 읽고 변경하는 여러 섹션을 포함하는 *.ini 파일입니다. 테마 파일은 강조 색상, 적용할 배경 화면 및 기타 몇 가지 옵션을 지정합니다.

섹션 중 하나는 다음과 같습니다.

[제어판\데스크탑]배경 화면=%WinDir%\web\wallpaper\Windows\img0.jpg

바탕 화면 키는 .theme 파일의 "Control Panel\Desktop" 섹션 아래에 있습니다. 다른 키가 동일한 방식으로 사용될 수 있으며 원격 파일 위치에 대해 설정된 경우 netNTLM 해시 공개에도 작동할 수 있다고 Jimmy Bayne은 말합니다.

연구원이 제공하는 문제를 완화하는 방법입니다.

방어적인 관점에서 "theme", "themepack", "desktopthemepackfile" 확장을 차단/재연관/헌트합니다. 브라우저에서 사용자는 열기 전에 수표를 받아야 합니다. 최근 몇 년 동안 다른 CVE 취약점이 공개되었으므로 해결하고 완화할 가치가 있습니다.

원천: 네오윈