Tiek ziņots, ka pielāgotus motīvus var izmantot, lai nozagtu Windows 10 lietotāja akreditācijas datus
Jauns drošības pētnieka atklājums Džimijs Beins, kurš to atklājis vietnē Twitter, atklāj Windows 10 motīvu dzinēja ievainojamību, ko var izmantot, lai nozagtu lietotāju akreditācijas datus. Īpaša nepareizi veidota tēma, kad tā tiek atvērta, novirza lietotājus uz lapu, kas liek lietotājiem ievadīt savus akreditācijas datus.
Reklāma
Kā jūs, iespējams, jau zināt, Windows ļauj koplietot motīvus sadaļā Iestatījumi. To var izdarīt, atverot Iestatījumi > Personalizēšana > Motīvi un pēc tam atlasot "Saglabājiet motīvu kopīgošanai" no izvēlnes. Tas izveidos jaunu *.deskthemepack failu ko lietotājs var augšupielādēt internetā, nosūtīt pa e-pastu vai dalīties ar citiem, izmantojot dažādas metodes. Citi lietotāji var lejupielādēt šādus failus un instalēt tos ar vienu klikšķi.
Uzbrucējs līdzīgi var izveidot .theme failu, kurā noklusējuma fona tapetes iestatījums norāda uz vietni, kurai nepieciešama autentifikācija. Kad nenojauši lietotāji ievada savus akreditācijas datus, vietnei autentifikācijai tiek nosūtīts informācijas NTLM jaucējkods. Nesarežģītas paroles pēc tam tiek uzlauztas, izmantojot īpašu atjaukšanas programmatūru.
[Akreditācijas datu iegūšanas triks] Izmantojot Windows .theme failu, fona tapetes taustiņu var konfigurēt tā, lai tas norādītu uz attālās autentifikācijas http/s resursu. Kad lietotājs aktivizē motīva failu (piemēram, atvērts no saites/pielikuma), lietotājam tiek parādīta Windows cred uzvedne.
Kas ir *.theme faili?
Tehniski *.theme faili ir *.ini faili, kas ietver vairākas sadaļas, kuras sistēma Windows lasa un maina OS izskatu atbilstoši atrastajām instrukcijām. Motīva failā ir norādīta akcenta krāsa, lietojamās tapetes un dažas citas opcijas.
Viena no tās sadaļām izskatās šādi.
[Vadības panelis\Darbvirsma]Wallpaper=%WinDir%\web\wallpaper\Windows\img0.jpg
Tas norāda noklusējuma fona tapeti, kas tiek lietota, kad lietotājs instalē motīvu. Vietējā ceļa vietā, norāda pētnieks, to var iestatīt uz attālu resursu, ko var izmantot, lai liktu lietotājam ievadīt savus akreditācijas datus.
Fona taustiņš atrodas .theme faila sadaļā "Vadības panelis\Darbvirsma". Citas atslēgas, iespējams, var tikt izmantotas tādā pašā veidā, un tas var darboties arī netNTLM jaukšanas izpaušanai, ja tas ir iestatīts attālām failu atrašanās vietām, saka Džimijs Beins.
Pētnieks nodrošina metode problēmas mazināšanai.
No aizsardzības viedokļa bloķējiet/atkārtoti saistiet/medīt paplašinājumus “theme”, “themepack”, “desktopthemepackfile”. Pārlūkprogrammās lietotājiem pirms atvēršanas jāuzrāda čeks. Pēdējos gados ir atklātas citas CVE vulnas, tāpēc ir vērts to novērst un mazināt
Avots: Neowin
