...
Elu häkid, kasulikud näpunäited, soovitused. Artiklid meestele ja naistele. Me kirjutame tehnoloogiast ja kõigest, mis on huvitav.

Windows 10 kohandatud teemad võivad varastada kasutajakonto teavet

0

Haavatavusest on Microsoftile juba varem teatatud, kuid nad peavad seda "funktsiooniks".

Kohandatud Windows 10 teemasid saab kasutada "Pass-the-Hash" rünnakutes, et varastada pahaaimamatutelt kasutajatelt Windowsi mandaate.

Windows võimaldab kasutajatel luua kohandatud teemasid, mis sisaldavad kohandatud värve, helisid, hiirekursoreid ja taustapilte, mida operatsioonisüsteem kasutab. Pärast seda saavad Windowsi kasutajad vahetada erinevaid teemasid, et muuta operatsioonisüsteemi välimust ja tunnet.

Windows 10 kohandatud teemad võivad varastada kasutajakonto teavet

Teema sätted salvestatakse kausta % AppData% Microsoft Windows Themesfailina laiendiga .theme, näiteks Custom Dark.theme.

Windows 10 kohandatud teemad võivad varastada kasutajakonto teavet

Windowsi teemasid saab seejärel teiste kasutajatega jagada, paremklõpsates aktiivsel teemal ja valides "Salvesta teema jagamiseks", mis pakib teema faili..deskthemepack.

Neid teemapakette saab seejärel meiliga saata või veebisaidile alla laadida ja failil topeltklõpsuga installida.

Kohandatud teemasid saab kasutada Windowsi paroolide varastamiseks

Sel nädalavahetusel avastas turvateadlane Jimmy Bain, et kasutajate loodud Windowsi teemasid saab kasutada Pass-the-Hash rünnaku sooritamiseks.

Räsi edastamise rünnakuid kasutatakse Windowsi kasutajanimede ja parooliräside varastamiseks, meelitades kasutajalt juurdepääsu autentimist nõudvale kaug- SMB-jagamisele.

Kui proovite pääseda juurde kaugressursile, proovib Windows automaatselt kaugsüsteemi sisse logida, saates Windowsi sisselogimise kasutajanime ja parooli NTLM-i räsi .

Pass-the-Hashi rünnaku korral koguvad ründajad esitatud mandaadid, kes seejärel dekrüpteerivad parooli ja saavad külastaja kasutajanime.

BleepingComputeri poolt varem läbi viidud testis kulus lihtsa parooli murdmiseks umbes 4 sekundit.

Windows 10 kohandatud teemad võivad varastada kasutajakonto teavet

NTLM-i parooli murdmine nelja sekundiga

Ründaja saab luua kohandatud .theme-faili ja muuta töölaua taustapildi sätet, et kasutada ressurssi, mis nõuab kaugautentimist, nagu allpool näidatud.

Windows 10 kohandatud teemad võivad varastada kasutajakonto teavet

Pahatahtliku Windowsi teemafaili allikas: Jimmy Bain

Kui Windows proovib pääseda juurde ressursile, mis nõuab kaugautentimist, proovib see jagamisele automaatselt sisse logida, saates NTLM-i räsi ja sisse logida kontole.

Windows 10 kohandatud teemad võivad varastada kasutajakonto teavet

Automaatne sisselogimiskatse

Seejärel saab ründaja spetsiaalsete skriptide abil mandaadid koguda ja parooli dekrüpteerida.

Windows 10 kohandatud teemad võivad varastada kasutajakonto teavet

Windowsi mandaatide kogumine Allikas: Jimmy Bain

Kuna Pass-the-Hashi rünnak võimaldab varastada Windowsi sisselogimiseks kasutatud konto, sealhulgas Microsofti konto, muutub seda tüüpi rünnak problemaatilisemaks.

Kuna Microsoft liigub kohalikelt Windows 10 kontodelt Microsofti kontodele, saavad kaugründajad seda rünnakut kasutada, et hõlpsamini pääseda juurde paljudele Microsofti pakutavatele kaugteenustele.

See hõlmab võimalust kaugjuurdepääsuks e -postile, Azure’ile või ettevõtte võrkudele.

Bain teatas, et teatas rünnakust Microsoftile selle aasta alguses, kuid talle öeldi, et seda ei parandata, kuna see oli "kujunduslikult loodud funktsioon".

Kaitse pahatahtlike teemafailide eest

Pahatahtlike teemafailide eest kaitsmiseks soovitas Bain kõigil blokeerida või uuesti linkida laiendused ja .thememõne muu programmiga..themepack``.desktopthemepackfile

Windows 10 kohandatud teemad võivad varastada kasutajakonto teavet

See aga rikub Windows 10 teemade funktsiooni, nii et kasutage seda näpunäidet ainult siis, kui te ei pea tulevikus teisele teemale lülituma.

Windowsi kasutajad saavad konfigureerida ka rühmapoliitika nimega Võrguturve: Piirake NTLM: Väljuv NTLM-liiklus kaugserveritesse ja seadke see valikule Keela kõik, et vältida teie NTLM-mandaatide saatmist kaughostidesse.

Windows 10 kohandatud teemad võivad varastada kasutajakonto teavet

Piira NTLM-i: väljaminev NTLM-liiklus kaugserveritesse

Pange tähele, et selle sätte konfigureerimine võib kaugjagamist kasutavates ettevõtte keskkondades põhjustada probleeme .

Samuti soovitame lubada oma Microsofti kontodel kahefaktorilise autentimise, et takistada ründajatel neile kaugjuurdepääsu isegi siis, kui nad on edukalt teie volikirjad varastanud.

See veebisait kasutab teie kasutuskogemuse parandamiseks küpsiseid. Eeldame, et olete sellega rahul, kuid saate soovi korral loobuda. Nõustu Loe rohkem