Haavatavusest on Microsoftile juba varem teatatud, kuid nad peavad seda "funktsiooniks".
Kohandatud Windows 10 teemasid saab kasutada "Pass-the-Hash" rünnakutes, et varastada pahaaimamatutelt kasutajatelt Windowsi mandaate.
Windows võimaldab kasutajatel luua kohandatud teemasid, mis sisaldavad kohandatud värve, helisid, hiirekursoreid ja taustapilte, mida operatsioonisüsteem kasutab. Pärast seda saavad Windowsi kasutajad vahetada erinevaid teemasid, et muuta operatsioonisüsteemi välimust ja tunnet.
Teema sätted salvestatakse kausta % AppData% Microsoft Windows Themesfailina laiendiga .theme, näiteks Custom Dark.theme.
Windowsi teemasid saab seejärel teiste kasutajatega jagada, paremklõpsates aktiivsel teemal ja valides "Salvesta teema jagamiseks", mis pakib teema faili..deskthemepack.
Neid teemapakette saab seejärel meiliga saata või veebisaidile alla laadida ja failil topeltklõpsuga installida.
Kohandatud teemasid saab kasutada Windowsi paroolide varastamiseks
Sel nädalavahetusel avastas turvateadlane Jimmy Bain, et kasutajate loodud Windowsi teemasid saab kasutada Pass-the-Hash rünnaku sooritamiseks.
Räsi edastamise rünnakuid kasutatakse Windowsi kasutajanimede ja parooliräside varastamiseks, meelitades kasutajalt juurdepääsu autentimist nõudvale kaug- SMB-jagamisele.
Kui proovite pääseda juurde kaugressursile, proovib Windows automaatselt kaugsüsteemi sisse logida, saates Windowsi sisselogimise kasutajanime ja parooli NTLM-i räsi .
Pass-the-Hashi rünnaku korral koguvad ründajad esitatud mandaadid, kes seejärel dekrüpteerivad parooli ja saavad külastaja kasutajanime.
BleepingComputeri poolt varem läbi viidud testis kulus lihtsa parooli murdmiseks umbes 4 sekundit.
NTLM-i parooli murdmine nelja sekundiga
Ründaja saab luua kohandatud .theme-faili ja muuta töölaua taustapildi sätet, et kasutada ressurssi, mis nõuab kaugautentimist, nagu allpool näidatud.
Pahatahtliku Windowsi teemafaili allikas: Jimmy Bain
Kui Windows proovib pääseda juurde ressursile, mis nõuab kaugautentimist, proovib see jagamisele automaatselt sisse logida, saates NTLM-i räsi ja sisse logida kontole.
Automaatne sisselogimiskatse
Seejärel saab ründaja spetsiaalsete skriptide abil mandaadid koguda ja parooli dekrüpteerida.
Windowsi mandaatide kogumine Allikas: Jimmy Bain
Kuna Pass-the-Hashi rünnak võimaldab varastada Windowsi sisselogimiseks kasutatud konto, sealhulgas Microsofti konto, muutub seda tüüpi rünnak problemaatilisemaks.
Kuna Microsoft liigub kohalikelt Windows 10 kontodelt Microsofti kontodele, saavad kaugründajad seda rünnakut kasutada, et hõlpsamini pääseda juurde paljudele Microsofti pakutavatele kaugteenustele.
See hõlmab võimalust kaugjuurdepääsuks e -postile, Azure’ile või ettevõtte võrkudele.
Bain teatas, et teatas rünnakust Microsoftile selle aasta alguses, kuid talle öeldi, et seda ei parandata, kuna see oli "kujunduslikult loodud funktsioon".
Kaitse pahatahtlike teemafailide eest
Pahatahtlike teemafailide eest kaitsmiseks soovitas Bain kõigil blokeerida või uuesti linkida laiendused ja .thememõne muu programmiga..themepack``.desktopthemepackfile
See aga rikub Windows 10 teemade funktsiooni, nii et kasutage seda näpunäidet ainult siis, kui te ei pea tulevikus teisele teemale lülituma.
Windowsi kasutajad saavad konfigureerida ka rühmapoliitika nimega Võrguturve: Piirake NTLM: Väljuv NTLM-liiklus kaugserveritesse ja seadke see valikule Keela kõik, et vältida teie NTLM-mandaatide saatmist kaughostidesse.
Piira NTLM-i: väljaminev NTLM-liiklus kaugserveritesse
Pange tähele, et selle sätte konfigureerimine võib kaugjagamist kasutavates ettevõtte keskkondades põhjustada probleeme .
Samuti soovitame lubada oma Microsofti kontodel kahefaktorilise autentimise, et takistada ründajatel neile kaugjuurdepääsu isegi siis, kui nad on edukalt teie volikirjad varastanud.