...
Astuces de vie, conseils utiles, recommandations. Articles pour hommes et femmes. Nous écrivons sur la technologie et sur tout ce qui est intéressant.
Des ordinateursNouvelles

Les thèmes personnalisés de Windows 10 peuvent voler des informations de compte d’utilisateur

0
Teneur
Des thèmes personnalisés peuvent être utilisés pour voler des mots de passe Windows
Protection contre les fichiers de thème malveillants

La vulnérabilité a déjà été signalée à Microsoft auparavant, mais ils la considèrent comme une "fonctionnalité".

Les thèmes Windows 10 personnalisés peuvent être utilisés dans les attaques "Pass-the-Hash" pour voler les informations d’identification Windows à des utilisateurs peu méfiants.

Windows permet aux utilisateurs de créer des thèmes personnalisés contenant des couleurs, des sons, des curseurs de souris et des fonds d’écran personnalisés que le système d’exploitation utilisera. Après cela, les utilisateurs de Windows peuvent basculer entre différents thèmes à volonté pour modifier l’apparence du système d’exploitation.

Les thèmes personnalisés de Windows 10 peuvent voler des informations de compte d'utilisateur

Les paramètres du thème sont enregistrés dans un dossier % AppData% Microsoft Windows Themessous forme de fichier avec une extension .theme, telle que Custom Dark.theme.

Les thèmes personnalisés de Windows 10 peuvent voler des informations de compte d'utilisateur

Les thèmes Windows peuvent ensuite être partagés avec d’autres utilisateurs en cliquant avec le bouton droit sur le thème actif et en choisissant "Enregistrer le thème pour le partage", ce qui regroupera le thème dans un fichier..deskthemepack.

Ces packs thématiques peuvent ensuite être envoyés par courrier électronique ou téléchargés sur un site Web et installés en double-cliquant sur le fichier.

Des thèmes personnalisés peuvent être utilisés pour voler des mots de passe Windows

Ce week-end, le chercheur en sécurité Jimmy Bain a découvert que les thèmes Windows créés par les utilisateurs peuvent être utilisés pour effectuer une attaque Pass-the-Hash.

Les attaques Pass-the-Hash sont utilisées pour voler les noms d’utilisateur Windows et les hachages de mot de passe en incitant l’utilisateur à accéder à un partage SMB distant nécessitant une authentification.

Lorsque vous essayez d’accéder à une ressource distante, Windows tente automatiquement de se connecter au système distant en envoyant le nom d’utilisateur de connexion Windows et un hachage NTLM de son mot de passe.

Dans une attaque Pass-the-Hash, les informations d’identification soumises sont collectées par les attaquants, qui déchiffrent ensuite le mot de passe et obtiennent le nom d’utilisateur du visiteur.

Dans un test précédemment effectué par BleepingComputer, il fallait environ 4 secondes pour déchiffrer un simple mot de passe.

Les thèmes personnalisés de Windows 10 peuvent voler des informations de compte d'utilisateur

Casser un mot de passe NTLM en quatre secondes

Un attaquant peut créer un fichier .theme personnalisé et modifier le paramètre de papier peint du bureau pour utiliser une ressource qui nécessite une authentification à distance, comme indiqué ci-dessous.

Les thèmes personnalisés de Windows 10 peuvent voler des informations de compte d'utilisateur

Source du fichier de thème Windows malveillant: Jimmy Bain

Lorsque Windows tente d’accéder à une ressource nécessitant une authentification à distance, il tente automatiquement de se connecter au partage en envoyant un hachage NTLM et se connecte au compte.

Les thèmes personnalisés de Windows 10 peuvent voler des informations de compte d'utilisateur

Tentative de connexion automatique

L’attaquant peut alors collecter les informations d’identification et déchiffrer le mot de passe à l’aide de scripts spéciaux.

Les thèmes personnalisés de Windows 10 peuvent voler des informations de compte d'utilisateur

Collecte des informations d’identification Windows Source: Jimmy Bain

Étant donné que l’attaque Pass-the-Hash permet de voler le compte utilisé pour se connecter à Windows, y compris un compte Microsoft, ce type d’attaque devient plus problématique.

Alors que Microsoft passe des comptes Windows 10 locaux aux comptes Microsoft, les attaquants distants peuvent utiliser cette attaque pour accéder plus facilement aux nombreux services distants proposés par Microsoft.

Cela inclut la possibilité d’accéder à distance à la messagerie, à Azure ou aux réseaux d’entreprise.

Bain a déclaré qu’il avait signalé l’attaque à Microsoft plus tôt cette année, mais on lui avait dit qu’elle ne serait pas corrigée, car il s’agissait "d’une fonctionnalité de conception".

Protection contre les fichiers de thème malveillants

Pour se protéger contre les fichiers de thèmes malveillants, Bain a conseillé à tout le monde de bloquer ou de relier les extensions .theme, .themepacket .desktopthemepackfileavec un autre programme.

Les thèmes personnalisés de Windows 10 peuvent voler des informations de compte d'utilisateur

Cependant, cela interrompra la fonctionnalité Thèmes de Windows 10, alors n’utilisez cette astuce que si vous n’avez pas besoin de passer à un thème différent à l’avenir.

Les utilisateurs Windows peuvent également configurer une stratégie de groupe appelée Sécurité réseau : restreindre NTLM : trafic NTLM sortant vers des serveurs distants et la définir sur Refuser tout pour empêcher l’envoi de vos informations d’identification NTLM à des hôtes distants.

Les thèmes personnalisés de Windows 10 peuvent voler des informations de compte d'utilisateur

Restreindre NTLM : trafic NTLM sortant vers des serveurs distants

Notez que la configuration de ce paramètre peut entraîner des problèmes dans les environnements d’entreprise qui utilisent des partages distants.

Nous vous recommandons également d’activer l’authentification à deux facteurs sur vos comptes Microsoft pour empêcher les attaquants d’y accéder à distance, même s’ils ont réussi à voler vos informations d’identification.

You might also like More from author

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More