...
Life hacks, handige tips, aanbevelingen. Artikelen voor mannen en vrouwen. We schrijven over technologie, en over alles wat interessant is.

Benutzerdefinierte Designs von Windows 10 können Benutzerkontoinformationen stehlen

8

Die Schwachstelle wurde Microsoft bereits zuvor gemeldet, sie betrachten sie jedoch als "Feature".

Benutzerdefinierte Windows 10-Designs können in „Pass-the-Hash” -Angriffen verwendet werden, um Windows-Anmeldeinformationen von ahnungslosen Benutzern zu stehlen.

Windows ermöglicht es Benutzern, benutzerdefinierte Themen zu erstellen, die benutzerdefinierte Farben, Sounds, Mauszeiger und Hintergrundbilder enthalten, die das Betriebssystem verwendet. Danach können Windows-Benutzer nach Belieben zwischen verschiedenen Themen wechseln, um das Erscheinungsbild des Betriebssystems zu ändern.

Benutzerdefinierte Designs von Windows 10 können Benutzerkontoinformationen stehlen

Die Designeinstellungen werden in einem Ordner % AppData% Microsoft Windows Themesals Datei mit der Erweiterung .theme gespeichert, z. B. Custom Dark.theme.

Benutzerdefinierte Designs von Windows 10 können Benutzerkontoinformationen stehlen

Windows-Designs können dann mit anderen Benutzern geteilt werden, indem Sie mit der rechten Maustaste auf das aktive Design klicken und „Design zum Teilen speichern” auswählen, wodurch das Design in eine Datei gepackt wird.deskthemepack.

Diese Themenpakete können dann per E-Mail versendet oder auf eine Website heruntergeladen und durch Doppelklicken auf die Datei installiert werden.

Benutzerdefinierte Designs können verwendet werden, um Windows-Passwörter zu stehlen

An diesem Wochenende entdeckte der Sicherheitsforscher Jimmy Bain, dass von Benutzern erstellte Windows-Designs verwendet werden können, um einen Pass-the-Hash-Angriff durchzuführen.

Pass-the-Hash- Angriffe werden verwendet, um Windows-Benutzernamen und Kennwort-Hashes zu stehlen, indem der Benutzer dazu verleitet wird, Zugriff auf eine Remote- SMB-Freigabe zu erhalten, die eine Authentifizierung erfordert.

Wenn Sie versuchen, auf eine Remote-Ressource zuzugreifen, versucht Windows automatisch, sich beim Remote-System anzumelden, indem es den Windows-Anmeldebenutzernamen und einen NTLM-Hash des Kennworts sendet.

Bei einem Pass-the-Hash-Angriff werden die übermittelten Anmeldeinformationen von den Angreifern gesammelt, die dann das Passwort entschlüsseln und den Benutzernamen des Besuchers erhalten.

In einem zuvor von BleepingComputer durchgeführten Test dauerte es etwa 4 Sekunden, um ein einfaches Passwort zu knacken.

Benutzerdefinierte Designs von Windows 10 können Benutzerkontoinformationen stehlen

Knacken eines NTLM-Passworts in vier Sekunden

Ein Angreifer kann eine benutzerdefinierte .theme-Datei erstellen und die Desktop-Hintergrundeinstellung ändern, um eine Ressource zu verwenden, die eine Remote-Authentifizierung erfordert, wie unten gezeigt.

Benutzerdefinierte Designs von Windows 10 können Benutzerkontoinformationen stehlen

Quelle der bösartigen Windows-Designdatei: Jimmy Bain

Wenn Windows versucht, auf eine Ressource zuzugreifen, die eine Remote-Authentifizierung erfordert, versucht es automatisch, sich bei der Freigabe anzumelden, indem es einen NTLM-Hash sendet und sich beim Konto anmeldet.

Benutzerdefinierte Designs von Windows 10 können Benutzerkontoinformationen stehlen

Automatischer Anmeldeversuch

Der Angreifer kann dann die Anmeldeinformationen sammeln und das Passwort mit speziellen Skripten entschlüsseln.

Benutzerdefinierte Designs von Windows 10 können Benutzerkontoinformationen stehlen

Sammeln von Windows-Anmeldeinformationen Quelle: Jimmy Bain

Da der Pass-the-Hash-Angriff es ermöglicht, das Konto zu stehlen, das zum Anmelden bei Windows verwendet wird, einschließlich eines Microsoft-Kontos, wird diese Art von Angriff problematischer.

Da Microsoft von lokalen Windows 10-Konten zu Microsoft-Konten wechselt, können Remote-Angreifer diesen Angriff nutzen, um einfacher auf die vielen von Microsoft angebotenen Remote-Dienste zuzugreifen.

Dazu gehört die Möglichkeit, per Fernzugriff auf E-Mail-, Azure- oder Unternehmensnetzwerke zuzugreifen.

Bain gab an, dass er den Angriff Anfang dieses Jahres Microsoft gemeldet habe, ihm aber mitgeteilt wurde, dass er nicht behoben werden würde, da es sich um „ein Feature by Design” handele.

Schutz vor schädlichen Designdateien

Zum Schutz vor bösartigen Designdateien riet Bain jedem, Erweiterungen zu blockieren oder neu zu verknüpfen .theme, .themepackund .desktopthemepackfilezwar mit einem anderen Programm.

Benutzerdefinierte Designs von Windows 10 können Benutzerkontoinformationen stehlen

Dadurch wird jedoch die Windows 10-Designfunktion unterbrochen. Verwenden Sie diesen Tipp also nur, wenn Sie in Zukunft nicht zu einem anderen Design wechseln müssen.

Windows-Benutzer können auch eine Gruppenrichtlinie mit dem Namen „ Netzwerksicherheit: NTLM einschränken: Ausgehender NTLM-Datenverkehr zu Remoteservern ” konfigurieren und auf „ Alle ablehnen” setzen, um zu verhindern, dass Ihre NTLM-Anmeldeinformationen an Remotehosts gesendet werden.

Benutzerdefinierte Designs von Windows 10 können Benutzerkontoinformationen stehlen

Beschränken Sie NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern

Beachten Sie, dass die Konfiguration dieser Einstellung Probleme in Unternehmensumgebungen verursachen kann, die Remotefreigaben verwenden.

Wir empfehlen außerdem, die Zwei-Faktor-Authentifizierung für Ihre Microsoft-Konten zu aktivieren, um zu verhindern, dass Angreifer aus der Ferne darauf zugreifen, selbst wenn sie Ihre Anmeldeinformationen erfolgreich gestohlen haben.

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern. Wir gehen davon aus, dass Sie damit einverstanden sind, Sie können sich jedoch abmelden, wenn Sie möchten. Annehmen Weiterlesen