...
Life hacks, användbara tips, rekommendationer. Artiklar för män och kvinnor. Vi skriver om teknik, och om allt som är intressant.

Windows 10 anpassade teman kan stjäla användarkontoinformation

4

Sårbarheten har redan rapporterats till Microsoft tidigare, men de anser att det är en "funktion".

Anpassade Windows 10-teman kan användas i "Pass-the-Hash" -attacker för att stjäla Windows-referenser från intet ont anande användare.

Windows tillåter användare att skapa anpassade teman som innehåller anpassade färger, ljud, muspekare och bakgrundsbilder som operativsystemet kommer att använda. Därefter kan Windows-användare växla mellan olika teman efter behag för att ändra utseendet och känslan för operativsystemet.

Windows 10 anpassade teman kan stjäla användarkontoinformation

Temainställningarna sparas i en mapp % AppData% Microsoft Windows Themessom en fil med filtillägget .theme, till exempel Custom Dark.theme.

Windows 10 anpassade teman kan stjäla användarkontoinformation

Windows-teman kan sedan delas med andra användare genom att högerklicka på det aktiva temat och välja "Spara tema för delning", vilket paketerar temat till en fil.deskthemepack.

Dessa temapaket kan sedan e-postas eller laddas ner till en webbplats och installeras genom att dubbelklicka på filen.

Anpassade teman kan användas för att stjäla Windows-lösenord

I helgen upptäckte säkerhetsforskaren Jimmy Bain att användarskapade Windows-teman kan användas för att utföra en Pass-the-Hash-attack.

Pass-the-Hash- attacker används för att stjäla Windows-användarnamn och lösenordshashar genom att lura användaren att få tillgång till en fjärr -SMB-resurs som kräver autentisering.

När du försöker komma åt en fjärrresurs kommer Windows automatiskt att försöka logga in på fjärrsystemet genom att skicka Windows-inloggningsanvändarnamnet och en NTLM-hash för dess lösenord.

I en Pass-the-Hash-attack samlas de inlämnade referenserna in av angriparna, som sedan dekrypterar lösenordet och får användarens användarnamn.

I ett test som tidigare utförts av BleepingComputer tog det cirka 4 sekunder att knäcka ett enkelt lösenord.

Windows 10 anpassade teman kan stjäla användarkontoinformation

Knäcker ett NTLM-lösenord på fyra sekunder

En angripare kan skapa en anpassad .theme-fil och ändra skrivbordsbakgrundsinställningen för att använda en resurs som kräver fjärrautentisering, som visas nedan.

Windows 10 anpassade teman kan stjäla användarkontoinformation

Skadlig Windows-temafil Källa: Jimmy Bain

När Windows försöker komma åt en resurs som kräver fjärrautentisering kommer det automatiskt att försöka logga in på resursen genom att skicka en NTLM-hash och logga in på kontot.

Windows 10 anpassade teman kan stjäla användarkontoinformation

Automatiskt inloggningsförsök

Angriparen kan sedan samla in autentiseringsuppgifterna och dekryptera lösenordet med hjälp av speciella skript.

Windows 10 anpassade teman kan stjäla användarkontoinformation

Samla in Windows-uppgifter Källa: Jimmy Bain

Eftersom Pass-the-Hash-attacken tillåter att kontot som används för att logga in på Windows, inklusive ett Microsoft-konto, stjäls, blir denna typ av attack mer problematisk.

När Microsoft flyttar från lokala Windows 10-konton till Microsoft-konton kan fjärrangripare använda denna attack för att lättare komma åt de många fjärrtjänsterna som erbjuds av Microsoft.

Detta inkluderar möjligheten att fjärråtkomst till e- post, Azure eller företagsnätverk.

Bain uppgav att han rapporterade attacken till Microsoft tidigare i år, men fick höra att den inte skulle åtgärdas, eftersom det var "en designfunktion."

Skydd mot skadliga temafiler

För att skydda mot skadliga temafiler rådde Bain alla att blockera eller länka om tillägg .themeoch .themepackmed .desktopthemepackfileett annat program.

Windows 10 anpassade teman kan stjäla användarkontoinformation

Detta kommer dock att bryta Windows 10-temanfunktionen, så använd bara det här tipset om du inte behöver byta till ett annat tema i framtiden.

Windows-användare kan också konfigurera en grupppolicy som heter Nätverkssäkerhet: Begränsa NTLM: Utgående NTLM-trafik till fjärrservrar och ställa in den på Neka alla för att förhindra att dina NTLM-uppgifter skickas till fjärrvärdar.

Windows 10 anpassade teman kan stjäla användarkontoinformation

Begränsa NTLM: Utgående NTLM-trafik till fjärrservrar

Observera att konfigurering av den här inställningen kan orsaka problem i företagsmiljöer som använder fjärrresurser.

Vi rekommenderar också att du aktiverar tvåfaktorsautentisering på dina Microsoft-konton för att förhindra att angripare kommer åt dem på distans, även om de har stulit dina referenser.

Denna webbplats använder cookies för att förbättra din upplevelse. Vi antar att du är ok med detta, men du kan välja bort det om du vill. Jag accepterar Fler detaljer