Windows Tips & News

Enligt uppgift kan anpassade teman användas för att stjäla användaruppgifter för Windows 10

click fraud protection
REKOMMENDERAD: Klicka här för att åtgärda Windows-problem och optimera systemets prestanda

Ett nytt fynd av säkerhetsforskare Jimmy Bayne, som har avslöjat det på Twitter, avslöjar en sårbarhet i Windows 10:s temamotor som kan användas för att stjäla användarnas referenser. Ett speciellt missformat tema, när det öppnas, omdirigerar användarna till en sida som uppmanar användarna att ange sina autentiseringsuppgifter.

Annons

Som du kanske redan vet, Windows tillåter delning av teman i Inställningar. Detta kan göras genom att öppna Inställningar > Anpassning > Teman och sedan genom att välja på "Spara tema för delning" från menyn. Detta skapar en ny *.deskthemepack-fil som användaren kan ladda upp till Internet, skicka via e-post eller kan dela med andra via en mängd olika metoder. Andra användare kan ladda ner sådana filer och installera dem med ett klick.

En angripare kan på liknande sätt skapa en ".theme"-fil där standardinställningen för bakgrundsbild pekar på en webbplats som kräver autentisering. När intet ont anande användare anger sina autentiseringsuppgifter skickas en NTLM-hash av detaljerna till webbplatsen för autentisering. Icke-komplexa lösenord knäcks sedan upp med hjälp av speciell avhashningsprogram.

Sårbarhet i Windows 10-tema

[Credential Harvesting Trick] Med hjälp av en Windows .theme-fil kan Bakgrundsnyckeln konfigureras så att den pekar på en http/s-resurs som krävs för fjärrbehörighet. När en användare aktiverar temafilen (t.ex. öppnad från en länk/bilaga) visas en Windows cred-prompt för användaren.

Vad är *.theme-filer?

Tekniskt sett är *.theme-filer *.ini-filer som innehåller ett antal avsnitt som Windows läser och ändrar utseendet på operativsystemet enligt instruktionerna som det hittat. Temafilen anger accentfärgen, bakgrundsbilder som ska tillämpas och några andra alternativ.

En av dess sektioner ser ut som följer.

[Kontrollpanelen\Skrivbord]Bakgrund=%WinDir%\web\wallpaper\Windows\img0.jpg

Den anger standardbakgrunden som används när användaren installerar temat. Istället för den lokala sökvägen, pekar forskaren, kan den ställas in på en fjärrresurs som kan användas för att få användaren att ange sina referenser.

Felaktig temafil

Bakgrundsnyckeln finns under avsnittet "Kontrollpanelen\Desktop" i .theme-filen. Andra nycklar kan möjligen användas på samma sätt, och detta kan också fungera för netNTLM-hash-avslöjande när det är inställt för fjärrfilplatser, säger Jimmy Bayne.

Forskaren tillhandahåller en metod för att lindra problemet.

Ur ett defensivt perspektiv, blockera/återassociera/jakta efter tilläggen "theme", "themepack", "desktopthemepackfile". I webbläsare bör användare presenteras med en kontroll innan de öppnas. Andra CVE-vulns har avslöjats under de senaste åren, så det är värt att ta itu med och mildra

Källa: Neowin

REKOMMENDERAD: Klicka här för att åtgärda Windows-problem och optimera systemets prestanda

Windows 10 Sticky Notes version 1.7.1 Arkiv

Denna webbplats använder cookies för att förbättra din upplevelse när du navigerar genom webbplat...

Läs mer

Sticky Notes stöder nu förhandsgranskningsprogrammet

Sticky Notes stöder nu förhandsgranskningsprogrammet

REKOMMENDERAD: Klicka här för att åtgärda Windows-problem och optimera systemets prestandaEn ny u...

Läs mer

Windows 10 Build 15048 är ute för Slow Ring Insiders

Denna webbplats använder cookies för att förbättra din upplevelse när du navigerar genom webbplat...

Läs mer