...
Trucchi di vita, consigli utili, raccomandazioni. Articoli per uomo e donna. Scriviamo di tecnologia e di tutto ciò che è interessante.

I temi personalizzati di Windows 10 possono rubare informazioni sull’account utente

0

La vulnerabilità è già stata segnalata a Microsoft in precedenza, ma la considerano una "caratteristica".

I temi personalizzati di Windows 10 possono essere utilizzati negli attacchi "Pass-the-Hash" per rubare le credenziali di Windows da utenti ignari.

Windows consente agli utenti di creare temi personalizzati contenenti colori, suoni, cursori del mouse e sfondi personalizzati che verranno utilizzati dal sistema operativo. Successivamente, gli utenti Windows possono passare da un tema all’altro a piacimento per modificare l’aspetto del sistema operativo.

I temi personalizzati di Windows 10 possono rubare informazioni sull'account utente

Le impostazioni del tema vengono salvate in una cartella % AppData% Microsoft Windows Themescome file con estensione .theme, ad esempio Custom Dark.theme.

I temi personalizzati di Windows 10 possono rubare informazioni sull'account utente

I temi di Windows possono quindi essere condivisi con altri utenti facendo clic con il pulsante destro del mouse sul tema attivo e scegliendo "Salva tema per la condivisione", che impacchetta il tema in un file.deskthemepack.

Questi pacchetti di temi possono quindi essere inviati tramite e-mail o scaricati su un sito Web e installati facendo doppio clic sul file.

I temi personalizzati possono essere utilizzati per rubare le password di Windows

Questo fine settimana, il ricercatore di sicurezza Jimmy Bain ha scoperto che i temi Windows creati dagli utenti possono essere utilizzati per eseguire un attacco Pass-the-Hash.

Gli attacchi pass-the-hash vengono utilizzati per rubare i nomi utente e gli hash delle password di Windows inducendo l’utente ad accedere a una condivisione SMB remota che richiede l’autenticazione.

Quando provi ad accedere a una risorsa remota, Windows tenterà automaticamente di accedere al sistema remoto inviando il nome utente di accesso di Windows e un hash NTLM della sua password.

In un attacco Pass-the-Hash, le credenziali inviate vengono raccolte dagli aggressori, che poi decrittano la password e ottengono il nome utente del visitatore.

In un test precedentemente condotto da BleepingComputer, ci sono voluti circa 4 secondi per decifrare una semplice password.

I temi personalizzati di Windows 10 possono rubare informazioni sull'account utente

Decifrare una password NTLM in quattro secondi

Un utente malintenzionato può creare un file .theme personalizzato e modificare l’impostazione dello sfondo del desktop per utilizzare una risorsa che richiede l’autenticazione remota, come mostrato di seguito.

I temi personalizzati di Windows 10 possono rubare informazioni sull'account utente

Fonte del file del tema di Windows dannoso: Jimmy Bain

Quando Windows tenta di accedere a una risorsa che richiede l’autenticazione remota, tenterà automaticamente di accedere alla condivisione inviando un hash NTLM e accedendo all’account.

I temi personalizzati di Windows 10 possono rubare informazioni sull'account utente

Tentativo di accesso automatico

L’aggressore può quindi raccogliere le credenziali e decrittografare la password utilizzando script speciali.

I temi personalizzati di Windows 10 possono rubare informazioni sull'account utente

Raccolta delle credenziali di Windows Fonte: Jimmy Bain

Poiché l’attacco Pass-the-Hash consente il furto dell’account utilizzato per accedere a Windows, incluso un account Microsoft, questo tipo di attacco diventa più problematico.

Man mano che Microsoft passa dagli account Windows 10 locali agli account Microsoft, gli aggressori remoti possono utilizzare questo attacco per accedere più facilmente ai numerosi servizi remoti offerti da Microsoft.

Ciò include la possibilità di accedere in remoto alla posta elettronica, ad Azure o alle reti aziendali.

Bain ha dichiarato di aver segnalato l’attacco a Microsoft all’inizio di quest’anno, ma gli è stato detto che non sarebbe stato risolto, poiché si trattava di "una caratteristica di progettazione".

Protezione da file di temi dannosi

Per proteggersi da file di temi dannosi, Bain ha consigliato a tutti di bloccare o ricollegare le estensioni .themee .themepackcon .desktopthemepackfileun altro programma.

I temi personalizzati di Windows 10 possono rubare informazioni sull'account utente

Tuttavia, ciò interromperà la funzionalità Temi di Windows 10, quindi usa questo suggerimento solo se non hai bisogno di passare a un tema diverso in futuro.

Gli utenti Windows possono anche configurare un criterio di gruppo denominato Sicurezza di rete: Limita NTLM: traffico NTLM in uscita verso server remoti e impostarlo su Nega tutto per impedire l’invio delle credenziali NTLM a host remoti.

I temi personalizzati di Windows 10 possono rubare informazioni sull'account utente

Limita NTLM: traffico NTLM in uscita verso server remoti

Si noti che la configurazione di questa impostazione può causare problemi negli ambienti aziendali che utilizzano condivisioni remote.

Ti consigliamo inoltre di abilitare l’autenticazione a due fattori sui tuoi account Microsoft per impedire agli aggressori di accedervi da remoto, anche se hanno rubato con successo le tue credenziali.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More