Trucos de vida, consejos útiles, recomendaciones. Artículos para hombres y mujeres. Escribimos sobre tecnología y sobre todo lo que es interesante.
NoticiasOrdenadores

Los temas personalizados de Windows 10 pueden robar información de la cuenta de usuario

0
Contenido
Los temas personalizados se pueden usar para robar contraseñas de Windows
Protección contra archivos de temas maliciosos

La vulnerabilidad ya se ha informado a Microsoft antes, pero la consideran una "característica".

Los temas personalizados de Windows 10 se pueden usar en ataques "Pass-the-Hash" para robar las credenciales de Windows de usuarios desprevenidos.

Windows permite a los usuarios crear temas personalizados que contienen colores, sonidos, cursores de mouse y fondos de pantalla personalizados que usará el sistema operativo. Después de eso, los usuarios de Windows pueden cambiar entre diferentes temas a voluntad para cambiar la apariencia del sistema operativo.

Los temas personalizados de Windows 10 pueden robar información de la cuenta de usuario

La configuración del tema se guarda en una carpeta % AppData% Microsoft Windows Themescomo un archivo con una extensión .theme, como Custom Dark.theme.

Los temas personalizados de Windows 10 pueden robar información de la cuenta de usuario

Los temas de Windows se pueden compartir con otros usuarios haciendo clic con el botón derecho en el tema activo y eligiendo "Guardar tema para compartir", lo que empaquetará el tema en un archivo..deskthemepack.

Estos paquetes de temas pueden enviarse por correo electrónico o descargarse a un sitio web e instalarse haciendo doble clic en el archivo.

Los temas personalizados se pueden usar para robar contraseñas de Windows

Este fin de semana, el investigador de seguridad Jimmy Bain descubrió que los temas de Windows creados por el usuario se pueden usar para realizar un ataque Pass-the-Hash.

Los ataques Pass-the-Hash se utilizan para robar nombres de usuario y hash de contraseñas de Windows al engañar al usuario para que obtenga acceso a un recurso compartido SMB remoto que requiere autenticación.

Cuando intenta acceder a un recurso remoto, Windows intentará iniciar sesión automáticamente en el sistema remoto enviando el nombre de usuario de inicio de sesión de Windows y un hash NTLM de su contraseña.

En un ataque Pass-the-Hash, los atacantes recopilan las credenciales enviadas, luego descifran la contraseña y obtienen el nombre de usuario del visitante.

En una prueba realizada anteriormente por BleepingComputer, tomó alrededor de 4 segundos descifrar una contraseña simple.

Los temas personalizados de Windows 10 pueden robar información de la cuenta de usuario

Descifrar una contraseña NTLM en cuatro segundos

Un atacante puede crear un archivo .theme personalizado y cambiar la configuración del fondo de escritorio para usar un recurso que requiera autenticación remota, como se muestra a continuación.

Los temas personalizados de Windows 10 pueden robar información de la cuenta de usuario

Archivo de tema malicioso de Windows Fuente: Jimmy Bain

Cuando Windows intenta acceder a un recurso que requiere autenticación remota, automáticamente intentará iniciar sesión en el recurso compartido mediante el envío de un hash NTLM e iniciar sesión en la cuenta.

Los temas personalizados de Windows 10 pueden robar información de la cuenta de usuario

Intento de inicio de sesión automático

Luego, el atacante puede recopilar las credenciales y descifrar la contraseña mediante scripts especiales.

Los temas personalizados de Windows 10 pueden robar información de la cuenta de usuario

Recopilación de credenciales de Windows Fuente: Jimmy Bain

Debido a que el ataque Pass-the-Hash permite el robo de la cuenta utilizada para iniciar sesión en Windows, incluida una cuenta de Microsoft, este tipo de ataque se vuelve más problemático.

A medida que Microsoft pasa de las cuentas locales de Windows 10 a las cuentas de Microsoft, los atacantes remotos pueden usar este ataque para acceder más fácilmente a los muchos servicios remotos que ofrece Microsoft.

Esto incluye la capacidad de acceder de forma remota al correo electrónico, Azure o redes corporativas.

Bain declaró que informó sobre el ataque a Microsoft a principios de este año, pero le dijeron que no se solucionaría, ya que era "una característica por diseño".

Protección contra archivos de temas maliciosos

Para protegerse contra los archivos de temas maliciosos, Bain aconsejó a todos que bloquearan o volvieran a vincular las extensiones .theme, .themepacky .desktopthemepackfilecon otro programa.

Los temas personalizados de Windows 10 pueden robar información de la cuenta de usuario

Sin embargo, esto romperá la función Temas de Windows 10, así que solo use este consejo si no necesita cambiar a un tema diferente en el futuro.

Los usuarios de Windows también pueden configurar una política de grupo llamada Seguridad de red: Restringir NTLM: tráfico NTLM saliente a servidores remotos y establecerlo en Denegar todo para evitar que sus credenciales NTLM se envíen a hosts remotos.

Los temas personalizados de Windows 10 pueden robar información de la cuenta de usuario

Restringir NTLM: tráfico NTLM saliente a servidores remotos

Tenga en cuenta que la configuración de esta opción puede causar problemas en entornos corporativos que utilizan recursos compartidos remotos.

También recomendamos habilitar la autenticación de dos factores en sus cuentas de Microsoft para evitar que los atacantes accedan a ellas de forma remota, incluso si han robado sus credenciales con éxito.

Fuente de grabación: www.exploit.media
También podría gustarte Más del autor