Вони виявляють загрозу, яка використовує «підготовлені» теми в Windows для викрадення паролів доступу до нашого комп’ютера

Можливість змінювати зовнішній вигляд нашого обладнання є одним із аспектів, який найбільше подобається користувачам. Змінити макет робочого столу так само просто, як завантажити та застосувати тему. І фактично, тут ми побачили теми та дизайни, які, наприклад, Microsoft періодично запускає у своєму магазині програм.

"

Теми та пакети тем для Windows 10 пропонують велику кількість варіантів, і майже всі вони безпечні, особливо ті, які випускає Microsoft.І ми маємо на увазі майже всі це, коли говоримо про безпеку, завдяки відкриттю дослідника, який знайшов спеціально розроблені теми для крадіжки наших паролів "

Атаки за допомогою хешування

Теми дозволяють змінювати майже будь-який аспект нашого робочого столу Кольори, фон, піктограми, курсор... майже все можна змінити за допомогою теми, які ми завантажуємо або налаштовуємо самостійно. Теми створюють конфігурацію, яка зберігається в шляху AppData%\Microsoft\Windows\Themes як файл із розширенням .theme.

"

Результат, файл із розширенням .theme, можна поділитися з іншими користувачами, і саме в цьому криється проблема, яку виявив дослідник @bohops у своєму Twitter-акаунті. Теми, спеціально запаковані для виконання атаки Pass-the-Hash (PtH) на наші комп’ютери."

Легкі атаки, і настільки, що Bleeping Computer застосували цей метод і змогли отримати пароль без додаткових ускладнень.

Тип атаки, спрямований на викрадення облікових даних для отримання доступу до інших компонентів системи з метою отримання повного контролю над це та доступ до всіх типів інформації, яку ми зберігаємо та яка циркулює через операційну систему.

Зловмисник намагається отримати доступ і отримати облікові дані для входу на комп’ютері, щоб після цього він міг ідентифікувати себе на інших комп’ютерах, підключених до мережі. Йдеться про доступ до хеш-значень пароля і таким чином можливість отримати доступ до всіх видів послуг. У цьому випадку мова йде не про доступ до пароля у звичайному тексті, а про хеш NTLM, який полегшує атаку.

У цьому випадку цей модифікований файл .theme змінює налаштування так, щоб тема мала шукати ресурс або віддалений файл, який вимагає автентифікації. Коли ви спробуєте віддалено отримати доступ до цього файлу, він автоматично спробує ввійти, надіславши хеш NTLM і ім’я користувача облікового запису Windows.

У цій ситуації рішенням, рекомендованим тим, хто виявив загрозу, є не завантажувати та не встановлювати файли з цими розширеннями, особливо коли вони надходять із ненадійних сайтів. Інший, більш екстремальний захід передбачає блокування всіх розширень файлів .theme, .themepack. і .desktopthemepackfile, але таким чином ми не зможемо змінити теми на нашому комп’ютері.

Через | Комп'ютер горить