Po poročanju je mogoče teme po meri uporabiti za krajo uporabniških poverilnic sistema Windows 10
Nova ugotovitev varnostnega raziskovalca Jimmy Bayne, ki je to razkril na Twitterju, razkrije ranljivost v motorju tem sistema Windows 10, ki se lahko uporablja za krajo uporabniških poverilnic. Posebna napačno oblikovana tema, ko se odpre, preusmeri uporabnike na stran, ki uporabnike pozove, da vnesejo svoje poverilnice.
Kot morda že veste, Windows omogoča skupno rabo tem v nastavitvah. To lahko storite tako, da odprete Nastavitve > Personalizacija > Teme in nato izberete "Shranite temo za skupno rabo« iz menija. To bo ustvarilo novo *.deskthemepack datoteka ki jih lahko uporabnik naloži v internet, pošlje po e-pošti ali deli z drugimi na različne načine. Drugi uporabniki lahko prenesejo takšne datoteke in jih namestijo z enim klikom.
Napadalec lahko podobno ustvari datoteko ».theme«, v kateri privzeta nastavitev ozadja kaže na spletno mesto, ki zahteva preverjanje pristnosti. Ko nič hudega sluteči uporabniki vnesejo svoje poverilnice, se NTLM razpršitev podrobnosti pošlje na spletno mesto za preverjanje pristnosti. Nekompleksna gesla se nato odprejo s posebno programsko opremo za dehaširanje.
[Trk za pridobivanje poverilnic] Z uporabo datoteke .theme v sistemu Windows je mogoče tipko za ozadje konfigurirati tako, da kaže na oddaljeni vir http/s, ki je potreben za overjanje. Ko uporabnik aktivira datoteko s temo (npr. odprto iz povezave/priponke), se uporabniku prikaže poziv za kreditno kartico Windows.
Kaj so datoteke *.theme?
Tehnično so datoteke *.theme datoteke *.ini, ki vključujejo številne razdelke, ki jih Windows prebere in spremeni videz operacijskega sistema v skladu z navodili, ki jih najde. Datoteka teme določa barvo poudarka, ozadja za uporabo in nekaj drugih možnosti.
Eden od njegovih odsekov je videti takole.
[Nadzorna plošča\Namizje]Ozadje=%WinDir%\web\wallpaper\Windows\img0.jpg
Določa privzeto ozadje, uporabljeno, ko uporabnik namesti temo. Namesto lokalne poti, kaže raziskovalec, jo je mogoče nastaviti na oddaljeni vir, ki se lahko uporabi, da uporabnik vnese svoje poverilnice.
Tipka za ozadje se nahaja pod razdelkom »Nadzorna plošča\Namizje« datoteke .theme. Na enak način se lahko uporabljajo tudi drugi ključi, to pa lahko deluje tudi za razkritje zgoščenih točk netNTLM, če je nastavljeno za oddaljene lokacije datotek, pravi Jimmy Bayne.
Raziskovalec zagotavlja metoda za ublažitev težave.
Z obrambnega vidika blokirajte/ponovno povežite/iskajte razširitve "theme", "themepack", "desktopthemepackfile". V brskalnikih je treba uporabnikom pred odpiranjem prikazati ček. V zadnjih letih so bili razkriti tudi drugi vulns CVE, zato jih je vredno obravnavati in ublažiti
vir: Neowin
