Fenyegetést észlelnek, amely a Windows "előkészített" témái segítségével ellopja számítógépünk hozzáférési jelszavait

A berendezéseink megjelenésének megváltoztatása az egyik olyan szempont, amelyet a felhasználók a legjobban kedvelnek. Az asztal elrendezésének módosítása olyan egyszerű, mint egy téma letöltése és alkalmazása. Valójában itt láthattuk azokat a témákat és terveket, amelyeket például a Microsoft rendszeresen elindít az alkalmazásboltjában.

"

A Windows 10 témák és témacsomagok számos lehetőséget kínálnak, és szinte mindegyik biztonságos, különösen a Microsoft által kiadott.És szinte minden esetben erre hivatkozunk, amikor a biztonságról beszélünk, egy kutató felfedezése miatt, aki külön tervezett témákat talált a jelszavaink ellopására "

Pass-the-Hash Attacks

A témák lehetővé teszik az asztalunk szinte minden aspektusának megváltoztatását Színek, hátterek, ikonok, kurzor... szinte minden módosítható letölthető vagy saját magunk által személyre szabott témák. A témák létrehoznak egy konfigurációt, amelyet az AppData%\Microsoft\Windows\Themes elérési útban tárolnak .theme kiterjesztésű fájlként.

"

Az eredmény, a .theme kiterjesztésű fájl megosztható más felhasználókkal, és ebben rejlik a @bohops kutató által a Twitter-fiókjában felfedezett probléma. Témák kifejezetten a Pass-the-Hash (PtH) támadás végrehajtására a számítógépeinken."

Könnyen végrehajtható támadások, és olyannyira, hogy a Bleeping Computernél ezt a módszert követték, és további bonyodalmak nélkül sikerült megszerezniük a jelszót.

Olyan típusú támadás, amely hitelesítő adatok ellopására törekszik, hogy más rendszerösszetevőkhöz hozzáférhessen azzal a céllal, hogy teljes irányítást szerezzen a rendszer felett. és hozzáférhet az összes általunk tárolt és az operációs rendszeren keresztül keringő információhoz.

A támadó megpróbál hozzáférni és megszerezni a bejelentkezési adatokat a számítógépen, hogy miután elérte, azonosítani tudja magát a hálózathoz csatlakoztatott többi számítógépen. A jelszóhash értékeihez való hozzáférés kérdése, és ezáltal mindenféle szolgáltatás elérése. Ebben az esetben nem a jelszó egyszerű szöveges eléréséről van szó, hanem az NTLM hash-ről, ami megkönnyíti a támadás végrehajtását.

Ebben az esetben ez a módosított .theme fájl módosítja a beállításokat, hogy a témának egy erőforrást vagy egy távoli fájl, amely hitelesítést igényel. Ezen a ponton, amikor megpróbálja távolról elérni a fájlt, az automatikusan megpróbál bejelentkezni az NTLM-kivonat és a Windows-fiók felhasználónevének elküldésével.

Ebben a helyzetben a fenyegetés felfedezője által javasolt megoldás az, hogy ne töltsön le és ne telepítsen ilyen kiterjesztésű fájlokat, különösen amikor megbízhatatlan oldalakról érkeznek. Egy másik, szélsőségesebb intézkedés az összes .theme, .themepack fájlkiterjesztés blokkolása. és .desktopthemepackfile, de így nem tudjuk megváltoztatni a témákat a számítógépünkön.

Via | Csipogó számítógép