...
Truques de vida, dicas úteis, recomendações. Artigos para homens e mulheres. Escrevemos sobre tecnologia e sobre tudo o que é interessante.

Temas personalizados do Windows 10 podem roubar informações da conta do usuário

1

A vulnerabilidade já foi relatada à Microsoft antes, mas eles a consideram um "recurso".

Os temas personalizados do Windows 10 podem ser usados ​​em ataques "Pass-the-Hash" para roubar credenciais do Windows de usuários inocentes.

O Windows permite que os usuários criem temas personalizados contendo cores, sons, cursores do mouse e papéis de parede personalizados que o sistema operacional usará. Depois disso, os usuários do Windows podem alternar entre diferentes temas à vontade para alterar a aparência do sistema operacional.

Temas personalizados do Windows 10 podem roubar informações da conta do usuário

As configurações do tema são salvas em uma pasta % AppData% Microsoft Windows Themescomo um arquivo com extensão .theme, como Custom Dark.theme.

Temas personalizados do Windows 10 podem roubar informações da conta do usuário

Os temas do Windows podem ser compartilhados com outros usuários clicando com o botão direito do mouse no tema ativo e escolhendo "Salvar tema para compartilhamento", que empacotará o tema em um arquivo.deskthemepack.

Esses pacotes de temas podem ser enviados por e-mail ou baixados em um site e instalados com um clique duplo no arquivo.

Temas personalizados podem ser usados ​​para roubar senhas do Windows

Neste fim de semana, o pesquisador de segurança Jimmy Bain descobriu que os temas do Windows criados pelo usuário podem ser usados ​​para realizar um ataque Pass-the-Hash.

Os ataques Pass-the-Hash são usados ​​para roubar nomes de usuário e hashes de senha do Windows, enganando o usuário para obter acesso a um compartilhamento SMB remoto que requer autenticação.

Quando você tenta acessar um recurso remoto, o Windows tenta automaticamente fazer login no sistema remoto enviando o nome de usuário de login do Windows e um hash NTLM de sua senha.

Em um ataque Pass-the-Hash, as credenciais enviadas são coletadas pelos invasores, que descriptografam a senha e obtêm o nome de usuário do visitante.

Em um teste realizado anteriormente pela BleepingComputer, demorou cerca de 4 segundos para quebrar uma senha simples.

Temas personalizados do Windows 10 podem roubar informações da conta do usuário

Quebrando uma senha NTLM em quatro segundos

Um invasor pode criar um arquivo .theme personalizado e alterar a configuração do papel de parede da área de trabalho para usar um recurso que requer autenticação remota, conforme mostrado abaixo.

Temas personalizados do Windows 10 podem roubar informações da conta do usuário

Origem do arquivo de tema malicioso do Windows: Jimmy Bain

Quando o Windows tenta acessar um recurso que requer autenticação remota, ele tenta automaticamente fazer login no compartilhamento enviando um hash NTLM e faz login na conta.

Temas personalizados do Windows 10 podem roubar informações da conta do usuário

Tentativa de login automático

O invasor pode coletar as credenciais e descriptografar a senha usando scripts especiais.

Temas personalizados do Windows 10 podem roubar informações da conta do usuário

Coletando credenciais do Windows Fonte: Jimmy Bain

Como o ataque Pass-the-Hash permite que a conta usada para fazer login no Windows, incluindo uma conta da Microsoft, seja roubada, esse tipo de ataque se torna mais problemático.

À medida que a Microsoft muda de contas locais do Windows 10 para contas da Microsoft, os invasores remotos podem usar esse ataque para acessar mais facilmente os vários serviços remotos oferecidos pela Microsoft.

Isso inclui a capacidade de acessar remotamente email, Azure ou redes corporativas.

Bain afirmou que relatou o ataque à Microsoft no início deste ano, mas foi informado de que não seria consertado, pois era "um recurso de design".

Proteção contra arquivos de tema maliciosos

Para se proteger contra arquivos de tema maliciosos, Bain aconselhou todos a bloquear ou vincular novamente as extensões .themee .themepackcom .desktopthemepackfileoutro programa.

Temas personalizados do Windows 10 podem roubar informações da conta do usuário

No entanto, isso interromperá o recurso Temas do Windows 10, portanto, use esta dica apenas se não precisar mudar para um tema diferente no futuro.

Os usuários do Windows também podem configurar uma política de grupo chamada Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos e defini-la como Negar tudo para evitar que suas credenciais NTLM sejam enviadas para hosts remotos.

Temas personalizados do Windows 10 podem roubar informações da conta do usuário

Restringir NTLM: tráfego NTLM de saída para servidores remotos

Observe que definir essa configuração pode causar problemas em ambientes corporativos que usam compartilhamentos remotos.

Também recomendamos ativar a autenticação de dois fatores em suas contas da Microsoft para impedir que invasores as acessem remotamente, mesmo que tenham roubado suas credenciais com sucesso.

Este site usa cookies para melhorar sua experiência. Presumiremos que você está ok com isso, mas você pode cancelar, se desejar. Aceitar Consulte Mais informação