Sårbarheten har redan rapporterats till Microsoft tidigare, men de anser att det är en "funktion".
Anpassade Windows 10-teman kan användas i "Pass-the-Hash" -attacker för att stjäla Windows-referenser från intet ont anande användare.
Windows tillåter användare att skapa anpassade teman som innehåller anpassade färger, ljud, muspekare och bakgrundsbilder som operativsystemet kommer att använda. Därefter kan Windows-användare växla mellan olika teman efter behag för att ändra utseendet och känslan för operativsystemet.
Temainställningarna sparas i en mapp % AppData% Microsoft Windows Themes
som en fil med filtillägget .theme, till exempel Custom Dark.theme
.
Windows-teman kan sedan delas med andra användare genom att högerklicka på det aktiva temat och välja "Spara tema för delning", vilket paketerar temat till en fil.deskthemepack.
Dessa temapaket kan sedan e-postas eller laddas ner till en webbplats och installeras genom att dubbelklicka på filen.
Anpassade teman kan användas för att stjäla Windows-lösenord
I helgen upptäckte säkerhetsforskaren Jimmy Bain att användarskapade Windows-teman kan användas för att utföra en Pass-the-Hash-attack.
Pass-the-Hash- attacker används för att stjäla Windows-användarnamn och lösenordshashar genom att lura användaren att få tillgång till en fjärr -SMB-resurs som kräver autentisering.
När du försöker komma åt en fjärrresurs kommer Windows automatiskt att försöka logga in på fjärrsystemet genom att skicka Windows-inloggningsanvändarnamnet och en NTLM-hash för dess lösenord.
I en Pass-the-Hash-attack samlas de inlämnade referenserna in av angriparna, som sedan dekrypterar lösenordet och får användarens användarnamn.
I ett test som tidigare utförts av BleepingComputer tog det cirka 4 sekunder att knäcka ett enkelt lösenord.
Knäcker ett NTLM-lösenord på fyra sekunder
En angripare kan skapa en anpassad .theme-fil och ändra skrivbordsbakgrundsinställningen för att använda en resurs som kräver fjärrautentisering, som visas nedan.
Skadlig Windows-temafil Källa: Jimmy Bain
När Windows försöker komma åt en resurs som kräver fjärrautentisering kommer det automatiskt att försöka logga in på resursen genom att skicka en NTLM-hash och logga in på kontot.
Automatiskt inloggningsförsök
Angriparen kan sedan samla in autentiseringsuppgifterna och dekryptera lösenordet med hjälp av speciella skript.
Samla in Windows-uppgifter Källa: Jimmy Bain
Eftersom Pass-the-Hash-attacken tillåter att kontot som används för att logga in på Windows, inklusive ett Microsoft-konto, stjäls, blir denna typ av attack mer problematisk.
När Microsoft flyttar från lokala Windows 10-konton till Microsoft-konton kan fjärrangripare använda denna attack för att lättare komma åt de många fjärrtjänsterna som erbjuds av Microsoft.
Detta inkluderar möjligheten att fjärråtkomst till e- post, Azure eller företagsnätverk.
Bain uppgav att han rapporterade attacken till Microsoft tidigare i år, men fick höra att den inte skulle åtgärdas, eftersom det var "en designfunktion."
Skydd mot skadliga temafiler
För att skydda mot skadliga temafiler rådde Bain alla att blockera eller länka om tillägg .theme
och .themepack
med .desktopthemepackfile
ett annat program.
Detta kommer dock att bryta Windows 10-temanfunktionen, så använd bara det här tipset om du inte behöver byta till ett annat tema i framtiden.
Windows-användare kan också konfigurera en grupppolicy som heter Nätverkssäkerhet: Begränsa NTLM: Utgående NTLM-trafik till fjärrservrar och ställa in den på Neka alla för att förhindra att dina NTLM-uppgifter skickas till fjärrvärdar.
Begränsa NTLM: Utgående NTLM-trafik till fjärrservrar
Observera att konfigurering av den här inställningen kan orsaka problem i företagsmiljöer som använder fjärrresurser.
Vi rekommenderar också att du aktiverar tvåfaktorsautentisering på dina Microsoft-konton för att förhindra att angripare kommer åt dem på distans, även om de har stulit dina referenser.