Údajne je možné použiť vlastné motívy na ukradnutie poverení používateľa systému Windows 10
Nové zistenie bezpečnostného výskumníka Jimmy Bayne, ktorý to odhalil na Twitteri, odhaľuje zraniteľnosť v motore tém Windowsu 10, ktorú možno použiť na ukradnutie poverení používateľov. Špeciálna chybná téma po otvorení presmeruje používateľov na stránku, ktorá používateľov vyzve na zadanie prihlasovacích údajov.
Ako už možno viete, Windows umožňuje zdieľanie tém v Nastaveniach. Môžete to urobiť otvorením Nastavenia > Prispôsobenie > Témy a potom výberom položky „Uložte tému na zdieľanie“ z ponuky. Tým sa vytvorí nový *súbor .deskthemepack ktorú môže používateľ nahrať na internet, odoslať e-mailom alebo ju môže zdieľať s ostatnými rôznymi spôsobmi. Ostatní používatelia si môžu takéto súbory stiahnuť a nainštalovať jedným kliknutím.
Útočník môže podobne vytvoriť súbor „.theme“, v ktorom predvolené nastavenie tapety ukazuje na webovú stránku, ktorá vyžaduje overenie. Keď nič netušiaci používatelia zadajú svoje prihlasovacie údaje, na web sa odošle hash NTLM s podrobnosťami na overenie. Nekomplexné heslá sa potom prelomia pomocou špeciálneho softvéru na odstránenie hašovania.
[Trik na získavanie poverení] Pomocou súboru .theme systému Windows možno kľúč tapety nakonfigurovať tak, aby ukazoval na vzdialený zdroj http/s vyžadujúci autorizáciu. Keď používateľ aktivuje súbor témy (napr. otvorí sa z odkazu/prílohy), používateľovi sa zobrazí výzva na prihlásenie do systému Windows.
Čo sú súbory *.témy?
Technicky sú súbory *.theme súbory *.ini, ktoré obsahujú množstvo sekcií, ktoré systém Windows číta a mení vzhľad operačného systému podľa nájdených pokynov. Súbor motívu špecifikuje farbu zvýraznenia, tapety, ktoré sa majú použiť, a niekoľko ďalších možností.
Jedna z jeho sekcií vyzerá nasledovne.
[Ovládací panel\Pracovná plocha]Tapeta=%WinDir%\web\wallpaper\Windows\img0.jpg
Určuje predvolenú tapetu, ktorá sa použije pri inštalácii témy používateľom. Namiesto lokálnej cesty, ukazuje výskumník, môže byť nastavená na vzdialený zdroj, ktorý možno použiť na to, aby používateľ zadal svoje poverenia.
Tlačidlo tapety sa nachádza v časti "Ovládací panel\Pracovná plocha" súboru .theme. Iné kľúče možno možno použiť rovnakým spôsobom a môže to fungovať aj pri zverejnení hash netNTLM, keď je nastavené pre vzdialené umiestnenie súborov, hovorí Jimmy Bayne.
Výskumník poskytuje metóda na zmiernenie problému.
Z obrannej perspektívy blokujte/znova priraďujte/hľadajte rozšírenia „téma“, „balíček tém“, „desktopthemepackfile“. V prehliadačoch by sa používateľom pred otvorením mala zobraziť kontrola. V posledných rokoch boli odhalené ďalšie CVE vulns, takže stojí za to ich riešiť a zmierniť
Zdroj: Neowin