Naar verluidt kunnen aangepaste thema's worden gebruikt om gebruikersreferenties voor Windows 10 te stelen
Een nieuwe bevinding door beveiligingsonderzoeker Jimmy Bayne, die het op Twitter heeft onthuld, onthult een kwetsbaarheid in de thema-engine van Windows 10 die kan worden gebruikt om de inloggegevens van gebruikers te stelen. Een speciaal misvormd thema, wanneer het wordt geopend, leidt gebruikers om naar een pagina die gebruikers vraagt om hun inloggegevens in te voeren.
Zoals u wellicht al weet, is Windows staat het delen van thema's toe in Instellingen. Dit kan door Instellingen > Personalisatie > Thema's te openen en vervolgens op "Thema opslaan om te delen" van het menu. Hiermee wordt een nieuwe * gemaakt.deskthemepack-bestand die de gebruiker naar internet kan uploaden, via e-mail kan verzenden of op verschillende manieren met anderen kan delen. Andere gebruikers kunnen dergelijke bestanden downloaden en met één klik installeren.
Een aanvaller kan op dezelfde manier een '.theme'-bestand maken waarin de standaardinstelling voor achtergronden verwijst naar een website die verificatie vereist. Wanneer nietsvermoedende gebruikers hun inloggegevens invoeren, wordt een NTLM-hash van de details naar de site gestuurd voor authenticatie. Niet-complexe wachtwoorden worden vervolgens gekraakt met behulp van speciale de-hashing-software.
[Trick voor het verzamelen van referenties] Met behulp van een Windows .theme-bestand kan de achtergrondsleutel worden geconfigureerd om te verwijzen naar een externe verificatie-vereiste http/s-bron. Wanneer een gebruiker het themabestand activeert (bijvoorbeeld geopend vanuit een link/bijlage), wordt een Windows-credprompt weergegeven aan de gebruiker.
Wat zijn *.theme-bestanden?
Technisch gezien zijn *.theme-bestanden *.ini-bestanden die een aantal secties bevatten die Windows leest en het uiterlijk van het besturingssysteem verandert volgens de gevonden instructies. Het themabestand specificeert de accentkleur, de toe te passen achtergronden en een paar andere opties.
Een van de secties ziet er als volgt uit.
[Configuratiescherm\Bureaublad]Wallpaper=%WinDir%\web\wallpaper\Windows\img0.jpg
Het specificeert de standaardachtergrond die wordt toegepast wanneer de gebruiker het thema installeert. In plaats van het lokale pad, wijst de onderzoeker, kan het worden ingesteld op een externe bron die kan worden gebruikt om de gebruiker zijn inloggegevens te laten invoeren.
De wallpaper-sleutel bevindt zich onder het gedeelte "Configuratiescherm\Desktop" van het .theme-bestand. Andere sleutels kunnen mogelijk op dezelfde manier worden gebruikt, en dit kan ook werken voor netNTLM-hash-onthulling wanneer ingesteld voor externe bestandslocaties, zegt Jimmy Bayne.
De onderzoeker geeft een methode om het probleem te verminderen.
Vanuit een defensief perspectief, blokkeer/opnieuw koppelen/jagen op "theme", "themepack", "desktopthemepackfile" extensies. In browsers moeten gebruikers een vinkje krijgen voordat ze worden geopend. Andere CVE-kwetsbaarheden zijn de afgelopen jaren onthuld, dus het is de moeite waard om deze aan te pakken en te verminderen
Bron: Neowin
