Se pare că temele personalizate pot fi folosite pentru a fura acreditările utilizatorului Windows 10
O nouă descoperire a cercetătorului de securitate Jimmy Bayne, care a dezvăluit-o pe Twitter, dezvăluie o vulnerabilitate în motorul de teme al Windows 10 care poate fi folosită pentru a fura acreditările utilizatorilor. O temă specială malformată, când este deschisă, redirecționează utilizatorii către o pagină care îi solicită utilizatorilor să-și introducă acreditările.
După cum probabil știți deja, Windows permite partajarea temelor în Setări. Acest lucru se poate face deschizând Setări > Personalizare > Teme și apoi selectând pe „Salvați tema pentru partajare" din meniu. Aceasta va crea un nou *fișier .deskthemepack pe care utilizatorul le poate încărca pe Internet, trimite prin e-mail sau poate partaja altora printr-o varietate de metode. Alți utilizatori pot descărca astfel de fișiere și le pot instala cu un singur clic.
Un atacator poate crea în mod similar un fișier „.theme” în care setarea implicită de fundal indică un site web care necesită autentificare. Când utilizatorii nesuspectați își introduc acreditările, un hash NTLM al detaliilor este trimis către site pentru autentificare. Parolele non-complexe sunt apoi deschise folosind un software special de de-hashing.
[Truc de recoltare a acreditărilor] Folosind un fișier Windows .theme, tasta Wallpaper poate fi configurată pentru a indica o resursă http/s de la distanță necesară. Când un utilizator activează fișierul cu temă (de exemplu, deschis dintr-un link/un atașament), utilizatorului i se afișează o solicitare de credit Windows.
Ce sunt fișierele *.theme?
Din punct de vedere tehnic, fișierele *.theme sunt fișiere *.ini care includ o serie de secțiuni pe care Windows le citește și modifică aspectul sistemului de operare conform instrucțiunilor pe care le-a găsit. Fișierul temă specifică culoarea accentului, imaginile de fundal de aplicat și alte câteva opțiuni.
Una dintre secțiunile sale arată după cum urmează.
[Panou de control\Desktop]Wallpaper=%WinDir%\web\wallpaper\Windows\img0.jpg
Specifică imaginea de fundal implicită aplicată atunci când utilizatorul instalează tema. În loc de calea locală, indică cercetătorul, aceasta poate fi setată la o resursă la distanță care poate fi folosită pentru a face utilizatorul să-și introducă acreditările.
Tasta de fundal se află sub secțiunea „Panou de control\Desktop” a fișierului .theme. Alte chei pot fi folosite în același mod, iar acest lucru poate funcționa și pentru dezvăluirea hash netNTLM atunci când este setat pentru locații de fișiere la distanță, spune Jimmy Bayne.
Cercetătorul oferă o metodă de a atenua problema.
Dintr-o perspectivă defensivă, blocați/reasociați/vânați extensiile „theme”, „themepack”, „desktopthemepackfile”. În browsere, utilizatorilor ar trebui să li se prezinte o verificare înainte de deschidere. Alte vulni CVE au fost dezvăluite în ultimii ani, așa că merită abordată și atenuată
Sursă: Neowin
