Temas personalizados do Windows 10 podem roubar informações da conta do usuário
A vulnerabilidade já foi relatada à Microsoft antes, mas eles a consideram um "recurso".
Os temas personalizados do Windows 10 podem ser usados em ataques "Pass-the-Hash" para roubar credenciais do Windows de usuários inocentes.
O Windows permite que os usuários criem temas personalizados contendo cores, sons, cursores do mouse e papéis de parede personalizados que o sistema operacional usará. Depois disso, os usuários do Windows podem alternar entre diferentes temas à vontade para alterar a aparência do sistema operacional.
As configurações do tema são salvas em uma pasta % AppData% Microsoft Windows Themescomo um arquivo com extensão .theme, como Custom Dark.theme.
Os temas do Windows podem ser compartilhados com outros usuários clicando com o botão direito do mouse no tema ativo e escolhendo "Salvar tema para compartilhamento", que empacotará o tema em um arquivo.deskthemepack.
Esses pacotes de temas podem ser enviados por e-mail ou baixados em um site e instalados com um clique duplo no arquivo.
Temas personalizados podem ser usados para roubar senhas do Windows
Neste fim de semana, o pesquisador de segurança Jimmy Bain descobriu que os temas do Windows criados pelo usuário podem ser usados para realizar um ataque Pass-the-Hash.
Os ataques Pass-the-Hash são usados para roubar nomes de usuário e hashes de senha do Windows, enganando o usuário para obter acesso a um compartilhamento SMB remoto que requer autenticação.
Quando você tenta acessar um recurso remoto, o Windows tenta automaticamente fazer login no sistema remoto enviando o nome de usuário de login do Windows e um hash NTLM de sua senha.
Em um ataque Pass-the-Hash, as credenciais enviadas são coletadas pelos invasores, que descriptografam a senha e obtêm o nome de usuário do visitante.
Em um teste realizado anteriormente pela BleepingComputer, demorou cerca de 4 segundos para quebrar uma senha simples.
Quebrando uma senha NTLM em quatro segundos
Um invasor pode criar um arquivo .theme personalizado e alterar a configuração do papel de parede da área de trabalho para usar um recurso que requer autenticação remota, conforme mostrado abaixo.
Origem do arquivo de tema malicioso do Windows: Jimmy Bain
Quando o Windows tenta acessar um recurso que requer autenticação remota, ele tenta automaticamente fazer login no compartilhamento enviando um hash NTLM e faz login na conta.
Tentativa de login automático
O invasor pode coletar as credenciais e descriptografar a senha usando scripts especiais.
Coletando credenciais do Windows Fonte: Jimmy Bain
Como o ataque Pass-the-Hash permite que a conta usada para fazer login no Windows, incluindo uma conta da Microsoft, seja roubada, esse tipo de ataque se torna mais problemático.
À medida que a Microsoft muda de contas locais do Windows 10 para contas da Microsoft, os invasores remotos podem usar esse ataque para acessar mais facilmente os vários serviços remotos oferecidos pela Microsoft.
Isso inclui a capacidade de acessar remotamente email, Azure ou redes corporativas.
Bain afirmou que relatou o ataque à Microsoft no início deste ano, mas foi informado de que não seria consertado, pois era "um recurso de design".
Proteção contra arquivos de tema maliciosos
Para se proteger contra arquivos de tema maliciosos, Bain aconselhou todos a bloquear ou vincular novamente as extensões .themee .themepackcom .desktopthemepackfileoutro programa.
No entanto, isso interromperá o recurso Temas do Windows 10, portanto, use esta dica apenas se não precisar mudar para um tema diferente no futuro.
Os usuários do Windows também podem configurar uma política de grupo chamada Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos e defini-la como Negar tudo para evitar que suas credenciais NTLM sejam enviadas para hosts remotos.
Restringir NTLM: tráfego NTLM de saída para servidores remotos
Observe que definir essa configuração pode causar problemas em ambientes corporativos que usam compartilhamentos remotos.
Também recomendamos ativar a autenticação de dois fatores em suas contas da Microsoft para impedir que invasores as acessem remotamente, mesmo que tenham roubado suas credenciais com sucesso.