...
Elämän hakkeroinnit, hyödylliset vinkit, suositukset. Artikkelit miehille ja naisille. Kirjoitamme tekniikasta ja kaikesta mielenkiintoisesta.

Windows 10:n mukautetut teemat voivat varastaa käyttäjätilitietoja

2

Haavoittuvuudesta on raportoitu Microsoftille jo aiemmin, mutta he pitävät sitä "ominaisuudena".

Mukautettuja Windows 10 -teemoja voidaan käyttää "Pass-the-Hash" -hyökkäyksissä Windowsin tunnistetietojen varastamiseksi pahaa aavistamattomilta käyttäjiltä.

Windowsin avulla käyttäjät voivat luoda mukautettuja teemoja, jotka sisältävät mukautettuja värejä, ääniä, hiiren osoittimia ja taustakuvia, joita käyttöjärjestelmä käyttää. Tämän jälkeen Windows-käyttäjät voivat vaihtaa eri teemojen välillä halutessaan muuttaakseen käyttöjärjestelmän ulkoasua ja tuntumaa.

Windows 10:n mukautetut teemat voivat varastaa käyttäjätilitietoja

Teema-asetukset tallennetaan kansioon % AppData% Microsoft Windows Themestiedostona, jonka tunniste on .theme, kuten Custom Dark.theme.

Windows 10:n mukautetut teemat voivat varastaa käyttäjätilitietoja

Windows-teemat voidaan sitten jakaa muiden käyttäjien kanssa napsauttamalla aktiivista teemaa hiiren kakkospainikkeella ja valitsemalla "Tallenna teema jaettavaksi", jolloin teema pakataan tiedostoon..deskthemepack.

Nämä teemapaketit voidaan sitten lähettää sähköpostitse tai ladata verkkosivustolle ja asentaa kaksoisnapsauttamalla tiedostoa.

Mukautettujen teemojen avulla voidaan varastaa Windowsin salasanoja

Tänä viikonloppuna tietoturvatutkija Jimmy Bain havaitsi, että käyttäjien luomia Windows-teemoja voidaan käyttää Pass-the-Hash-hyökkäykseen.

Pass-the-Hash -hyökkäyksillä varastetaan Windowsin käyttäjänimiä ja salasanojen tiivisteitä huijaamalla käyttäjä pääsemään SMB -etäjakoon, joka vaatii todennusta.

Kun yrität käyttää etäresurssia, Windows yrittää automaattisesti kirjautua sisään etäjärjestelmään lähettämällä Windowsin sisäänkirjautumistunnuksen ja salasanan NTLM-tiivisteen .

Pass-the-Hash-hyökkäyksessä hyökkääjät keräävät lähetetyt tunnistetiedot, jotka sitten purkavat salasanan ja saavat vierailijan käyttäjätunnuksen.

BleepingComputerin aiemmin suorittamassa testissä yksinkertaisen salasanan murtaminen kesti noin 4 sekuntia.

Windows 10:n mukautetut teemat voivat varastaa käyttäjätilitietoja

NTLM-salasanan murtaminen neljässä sekunnissa

Hyökkääjä voi luoda mukautetun .theme-tiedoston ja muuttaa työpöydän taustakuva-asetuksen käyttämään resurssia, joka vaatii etätodennusta alla olevan kuvan mukaisesti.

Windows 10:n mukautetut teemat voivat varastaa käyttäjätilitietoja

Haitallinen Windows-teematiedoston lähde: Jimmy Bain

Kun Windows yrittää käyttää etätodennusta vaativaa resurssia, se yrittää automaattisesti kirjautua osuuteen lähettämällä NTLM-tiivisteen ja kirjautumisen tilille.

Windows 10:n mukautetut teemat voivat varastaa käyttäjätilitietoja

Automaattinen kirjautumisyritys

Hyökkääjä voi sitten kerätä tunnistetiedot ja purkaa salasanan salauksen käyttämällä erityisiä skriptejä.

Windows 10:n mukautetut teemat voivat varastaa käyttäjätilitietoja

Windows-käyttöoikeustietojen kerääminen Lähde: Jimmy Bain

Koska Pass-the-Hash-hyökkäys mahdollistaa Windowsiin kirjautumiseen käytetyn tilin, mukaan lukien Microsoft-tilin, varastamisen, tämäntyyppisestä hyökkäyksestä tulee ongelmallisempaa.

Kun Microsoft siirtyy paikallisista Windows 10 -tileistä Microsoft-tileihin, etähyökkääjät voivat käyttää tätä hyökkäystä helpommin käyttääkseen monia Microsoftin tarjoamia etäpalveluita.

Tämä sisältää mahdollisuuden etäkäyttää sähköpostia, Azurea tai yritysverkkoja.

Bain ilmoitti raportoineensa hyökkäyksestä Microsoftille aiemmin tänä vuonna, mutta hänelle kerrottiin, ettei sitä korjata, koska se oli "suunniteltu ominaisuus".

Suojaus haitallisia teematiedostoja vastaan

Suojatakseen haitallisilta teematiedostoilta Bain neuvoi kaikkia estämään tai linkittämään uudelleen laajennuksia .themeja toisen ohjelman kanssa .themepack..desktopthemepackfile

Windows 10:n mukautetut teemat voivat varastaa käyttäjätilitietoja

Tämä kuitenkin rikkoo Windows 10 Teemat -ominaisuuden, joten käytä tätä vinkkiä vain, jos sinun ei tarvitse vaihtaa toiseen teemaan tulevaisuudessa.

Windows-käyttäjät voivat myös määrittää ryhmäkäytännön nimeltä Verkkosuojaus: Rajoita NTLM: Lähtevä NTLM-liikenne etäpalvelimiin ja asettaa sen arvoksi Estä kaikki, jotta NTLM-tunnistetietojasi ei lähetetä etäisäntään.

Windows 10:n mukautetut teemat voivat varastaa käyttäjätilitietoja

Rajoita NTLM: Lähtevä NTLM-liikenne etäpalvelimiin

Huomaa, että tämän asetuksen määrittäminen voi aiheuttaa ongelmia yritysympäristöissä, jotka käyttävät etäjakoja.

Suosittelemme myös ottamaan käyttöön kaksivaiheisen todennuksen Microsoft-tileissäsi, jotta hyökkääjät eivät pääse etäkäyttämään niitä, vaikka he olisivat onnistuneesti varastaneet kirjautumistietosi.

Tämä verkkosivusto käyttää evästeitä parantaakseen käyttökokemustasi. Oletamme, että olet kunnossa, mutta voit halutessasi kieltäytyä. Hyväksyä Lisätietoja