Як повідомляється, спеціальні теми можна використовувати для викрадення облікових даних користувача Windows 10
Нове відкриття дослідника безпеки Джиммі Бейн, який оприлюднив це в Twitter, розкриває вразливість у системі тем Windows 10, яку можна використовувати для крадіжки облікових даних користувачів. При відкритті спеціальної теми з неправильним форматом користувачі перенаправляються на сторінку, яка пропонує користувачам ввести свої облікові дані.
Як ви вже знаєте, Windows дозволяє ділитися темами в Налаштуваннях. Це можна зробити, відкривши Налаштування > Персоналізація > Теми, а потім вибравши "Збережіть тему для обміну" з меню. Це створить новий *файл .deskthemepack які користувач може завантажувати в Інтернет, надсилати електронною поштою або ділитися з іншими різними способами. Інші користувачі можуть завантажити такі файли та встановити їх одним кліком.
Аналогічно зловмисник може створити файл «.theme», у якому стандартне налаштування фонового зображення вказує на веб-сайт, який вимагає аутентифікації. Коли нічого не підозрюють користувачі вводять свої облікові дані, NTLM-хеш деталей надсилається на сайт для аутентифікації. Потім нескладні паролі розкриваються за допомогою спеціального програмного забезпечення для дехешування.
[Трюк із збором облікових даних] Використовуючи файл .theme Windows, можна налаштувати клавішу шпалер, щоб вона вказувала на віддалений ресурс http/s, який вимагає авторизації. Коли користувач активує файл теми (наприклад, відкритий за посиланням/вкладеним файлом), користувачеві відображається запит Windows cred.
Що таке файли *.theme?
Технічно файли *.theme — це файли *.ini, які містять ряд розділів, які Windows зчитує та змінює зовнішній вигляд ОС відповідно до знайдених інструкцій. Файл теми визначає колір акценту, шпалери для застосування та кілька інших параметрів.
Один з його розділів виглядає наступним чином.
[Панель керування\Робочий стіл]Wallpaper=%WinDir%\web\wallpaper\Windows\img0.jpg
Він визначає шпалери за замовчуванням, які застосовуються, коли користувач встановлює тему. Замість локального шляху, вказує дослідник, його можна встановити на віддалений ресурс, який можна використовувати, щоб змусити користувача ввести свої облікові дані.
Клавіша шпалер знаходиться в розділі «Панель керування\Робочий стіл» файлу .theme. Інші ключі можуть використовуватися таким же чином, і це також може працювати для розкриття хешу netNTLM, якщо встановлено для віддалених розташування файлів, каже Джиммі Бейн.
Дослідник надає метод пом'якшення проблеми.
З точки зору захисту, блокуйте/повторно пов’язуйте/пошукуйте розширення «тема», «темапак», «desktopthemepackfile». У браузерах перед відкриттям користувачам слід поставити перевірку. Останніми роками були розкриті інші вульни CVE, тому варто розглянути та пом’якшити їх
Джерело: Neowin
