Wykrywają zagrożenie wykorzystujące „przygotowane” motywy w systemie Windows do kradzieży haseł dostępu do naszego komputera

Możliwość zmiany wyglądu naszego sprzętu to jeden z aspektów, który użytkownicy lubią najbardziej. Zmiana układu pulpitu jest tak prosta, jak pobranie i zastosowanie motywu. W rzeczywistości widzieliśmy tutaj motywy i projekty, które na przykład firma Microsoft okresowo uruchamia w swoim sklepie z aplikacjami.

"

Motywy i pakiety motywów systemu Windows 10 oferują wiele opcji i prawie wszystkie z nich są bezpieczne, zwłaszcza te wydane przez firmę Microsoft.I odnosimy się do tego prawie zawsze, gdy mówimy o bezpieczeństwie, ze względu na odkrycie badacza, który znalazł specjalnie zaprojektowane motywy do kradzieży naszych haseł "

Pass-the-Hash Attacks

Motywy pozwalają zmienić prawie każdy aspekt naszego pulpitu Kolory, tła, ikony, kursor... prawie wszystko można modyfikować motywy, które są do pobrania lub które sami dostosowujemy. Motywy tworzą konfigurację, która jest przechowywana w ścieżce AppData%\Microsoft\Windows\Themes jako plik z rozszerzeniem .theme.

"

Wynik, plik z rozszerzeniem .theme, można udostępniać innym użytkownikom i na tym polega problem odkryty przez badacza @bohops na jego koncie na Twitterze. Motywy specjalnie spakowane do przeprowadzania ataku Pass-the-Hash (PtH) na nasze komputery."

Ataki łatwe do przeprowadzenia i tak bardzo, że w Bleeping Computer zastosowali tę metodę i udało im się zdobyć hasło bez dalszych komplikacji.

Rodzaj ataku mający na celu kradzież danych uwierzytelniających w celu uzyskania dostępu do innych składników systemu w celu uzyskania całkowitej kontroli nad i dostęp do wszystkich typów informacji, które przechowujemy i które krążą w systemie operacyjnym.

Atakujący próbuje uzyskać dostęp do danych logowania do komputera i uzyskać je, aby po ich uzyskaniu mógł zidentyfikować się na innych komputerach podłączonych do sieci. Chodzi o dostęp do wartości skrótu hasła iw ten sposób dostęp do wszelkiego rodzaju usług. W tym przypadku nie chodzi o dostęp do hasła w postaci zwykłego tekstu, ale raczej o hash NTLM, który ułatwia przeprowadzenie ataku.

W tym przypadku zmodyfikowany plik .theme zmienia ustawienia tak, aby motyw musiał szukać zasobu lub plik zdalny, który wymaga uwierzytelnienia. W tym momencie, gdy spróbujesz uzyskać zdalny dostęp do tego pliku, automatycznie spróbuje się zalogować, wysyłając skrót NTLM i nazwę użytkownika konta Windows.

W tej sytuacji rozwiązaniem zalecanym przez odkrywcę zagrożenia jest nie pobierać ani nie instalować plików z tymi rozszerzeniami, szczególnie gdy pochodzą z niewiarygodnych witryn. Innym, bardziej ekstremalnym środkiem jest blokowanie wszystkich rozszerzeń plików .theme, .themepack. i .desktopthemepackfile, ale w ten sposób nie będziemy mogli zmienić motywów na naszym komputerze.

Przez | Piszczący komputer