Pranešama, kad pasirinktinės temos gali būti naudojamos norint pavogti „Windows 10“ vartotojo kredencialus
Naujas saugumo tyrinėtojo atradimas Jimmy Bayne'as, kuris tai atskleidė „Twitter“, atskleidžia „Windows 10“ temų variklio pažeidžiamumą, kurį galima panaudoti norint pavogti vartotojų kredencialus. Speciali netinkamai suformuota tema, kai atidaroma, nukreipia vartotojus į puslapį, kuriame vartotojai raginami įvesti savo kredencialus.
Skelbimas
Kaip jau tikriausiai žinote, „Windows“. leidžia dalytis temomis nustatymuose. Tai galima padaryti atidarius Nustatymai > Personalizavimas > Temos ir pasirinkus "Išsaugokite temą bendrinimui“ iš meniu. Taip bus sukurtas naujas *.deskthemepack failą kuriuos vartotojas gali įkelti į internetą, siųsti el. paštu arba pasidalinti su kitais įvairiais būdais. Kiti vartotojai gali atsisiųsti tokius failus ir juos įdiegti vienu paspaudimu.
Užpuolikas taip pat gali sukurti „.theme“ failą, kuriame numatytasis ekrano fono nustatymas nukreipia į svetainę, kuriai reikalingas autentifikavimas. Kai nieko neįtariantys vartotojai įveda savo kredencialus, NTLM maišos informacija siunčiama į svetainę autentifikuoti. Tada nesudėtingi slaptažodžiai atidaromi naudojant specialią maišos šalinimo programinę įrangą.
[Kredencialų rinkimo triukas] Naudojant Windows .theme failą, ekrano fono klavišą galima sukonfigūruoti taip, kad jis nukreiptų į nuotolinio autentifikavimo reikalingą http/s šaltinį. Kai vartotojas suaktyvina temos failą (pvz., atidarytas iš nuorodos / priedo), vartotojui rodomas Windows cred raginimas.
Kas yra *.temos failai?
Techniškai *.temos failai yra *.ini failai, kuriuose yra daug skyrių, kuriuos „Windows“ skaito ir keičia OS išvaizdą pagal rastas instrukcijas. Temos faile nurodoma akcento spalva, taikomi fono paveikslėliai ir keletas kitų parinkčių.
Viena iš jos skyrių atrodo taip.
[Valdymo skydelis\Desktop]Wallpaper=%WinDir%\web\wallpaper\Windows\img0.jpg
Jame nurodomas numatytasis ekrano užsklanda, taikoma, kai vartotojas įdiegia temą. Vietoj vietinio kelio, nurodo tyrėjas, jis gali būti nustatytas į nuotolinį šaltinį, kuris gali būti naudojamas vartotojui įvesti savo kredencialus.
Ekrano užsklandos klavišas yra .temos failo skiltyje „Valdymo skydas\Desktop“. Kiti raktai gali būti naudojami tokiu pačiu būdu, ir tai taip pat gali būti naudinga netNTLM maišos atskleidimui, kai nustatyta nuotolinėms failų vietoms, sako Jimmy Bayne.
Tyrėjas pateikia būdas sušvelninti problemą.
Žvelgiant iš gynybinės perspektyvos, blokuokite / susiekite / ieškokite plėtinių „tema“, „temos paketas“, „desktopthemepackfile“. Naršyklėse prieš atidarant naudotojams turėtų būti pateiktas čekis. Pastaraisiais metais buvo atskleistos kitos CVE pavojaus, todėl verta juos spręsti ir sušvelninti
Šaltinis: Neowin