Benutzerdefinierte Designs von Windows 10 können Benutzerkontoinformationen stehlen
Die Schwachstelle wurde Microsoft bereits zuvor gemeldet, sie betrachten sie jedoch als "Feature".
Benutzerdefinierte Windows 10-Designs können in „Pass-the-Hash” -Angriffen verwendet werden, um Windows-Anmeldeinformationen von ahnungslosen Benutzern zu stehlen.
Windows ermöglicht es Benutzern, benutzerdefinierte Themen zu erstellen, die benutzerdefinierte Farben, Sounds, Mauszeiger und Hintergrundbilder enthalten, die das Betriebssystem verwendet. Danach können Windows-Benutzer nach Belieben zwischen verschiedenen Themen wechseln, um das Erscheinungsbild des Betriebssystems zu ändern.
Die Designeinstellungen werden in einem Ordner % AppData% Microsoft Windows Themes
als Datei mit der Erweiterung .theme gespeichert, z. B. Custom Dark.theme
.
Windows-Designs können dann mit anderen Benutzern geteilt werden, indem Sie mit der rechten Maustaste auf das aktive Design klicken und „Design zum Teilen speichern” auswählen, wodurch das Design in eine Datei gepackt wird.deskthemepack.
Diese Themenpakete können dann per E-Mail versendet oder auf eine Website heruntergeladen und durch Doppelklicken auf die Datei installiert werden.
Benutzerdefinierte Designs können verwendet werden, um Windows-Passwörter zu stehlen
An diesem Wochenende entdeckte der Sicherheitsforscher Jimmy Bain, dass von Benutzern erstellte Windows-Designs verwendet werden können, um einen Pass-the-Hash-Angriff durchzuführen.
Pass-the-Hash- Angriffe werden verwendet, um Windows-Benutzernamen und Kennwort-Hashes zu stehlen, indem der Benutzer dazu verleitet wird, Zugriff auf eine Remote- SMB-Freigabe zu erhalten, die eine Authentifizierung erfordert.
Wenn Sie versuchen, auf eine Remote-Ressource zuzugreifen, versucht Windows automatisch, sich beim Remote-System anzumelden, indem es den Windows-Anmeldebenutzernamen und einen NTLM-Hash des Kennworts sendet.
Bei einem Pass-the-Hash-Angriff werden die übermittelten Anmeldeinformationen von den Angreifern gesammelt, die dann das Passwort entschlüsseln und den Benutzernamen des Besuchers erhalten.
In einem zuvor von BleepingComputer durchgeführten Test dauerte es etwa 4 Sekunden, um ein einfaches Passwort zu knacken.
Knacken eines NTLM-Passworts in vier Sekunden
Ein Angreifer kann eine benutzerdefinierte .theme-Datei erstellen und die Desktop-Hintergrundeinstellung ändern, um eine Ressource zu verwenden, die eine Remote-Authentifizierung erfordert, wie unten gezeigt.
Quelle der bösartigen Windows-Designdatei: Jimmy Bain
Wenn Windows versucht, auf eine Ressource zuzugreifen, die eine Remote-Authentifizierung erfordert, versucht es automatisch, sich bei der Freigabe anzumelden, indem es einen NTLM-Hash sendet und sich beim Konto anmeldet.
Automatischer Anmeldeversuch
Der Angreifer kann dann die Anmeldeinformationen sammeln und das Passwort mit speziellen Skripten entschlüsseln.
Sammeln von Windows-Anmeldeinformationen Quelle: Jimmy Bain
Da der Pass-the-Hash-Angriff es ermöglicht, das Konto zu stehlen, das zum Anmelden bei Windows verwendet wird, einschließlich eines Microsoft-Kontos, wird diese Art von Angriff problematischer.
Da Microsoft von lokalen Windows 10-Konten zu Microsoft-Konten wechselt, können Remote-Angreifer diesen Angriff nutzen, um einfacher auf die vielen von Microsoft angebotenen Remote-Dienste zuzugreifen.
Dazu gehört die Möglichkeit, per Fernzugriff auf E-Mail-, Azure- oder Unternehmensnetzwerke zuzugreifen.
Bain gab an, dass er den Angriff Anfang dieses Jahres Microsoft gemeldet habe, ihm aber mitgeteilt wurde, dass er nicht behoben werden würde, da es sich um „ein Feature by Design” handele.
Schutz vor schädlichen Designdateien
Zum Schutz vor bösartigen Designdateien riet Bain jedem, Erweiterungen zu blockieren oder neu zu verknüpfen .theme
, .themepack
und .desktopthemepackfile
zwar mit einem anderen Programm.
Dadurch wird jedoch die Windows 10-Designfunktion unterbrochen. Verwenden Sie diesen Tipp also nur, wenn Sie in Zukunft nicht zu einem anderen Design wechseln müssen.
Windows-Benutzer können auch eine Gruppenrichtlinie mit dem Namen „ Netzwerksicherheit: NTLM einschränken: Ausgehender NTLM-Datenverkehr zu Remoteservern ” konfigurieren und auf „ Alle ablehnen” setzen, um zu verhindern, dass Ihre NTLM-Anmeldeinformationen an Remotehosts gesendet werden.
Beschränken Sie NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern
Beachten Sie, dass die Konfiguration dieser Einstellung Probleme in Unternehmensumgebungen verursachen kann, die Remotefreigaben verwenden.
Wir empfehlen außerdem, die Zwei-Faktor-Authentifizierung für Ihre Microsoft-Konten zu aktivieren, um zu verhindern, dass Angreifer aus der Ferne darauf zugreifen, selbst wenn sie Ihre Anmeldeinformationen erfolgreich gestohlen haben.