За допомогою кастомних тем для Windows 10 можна вкрасти дані облікового запису користувача
Про вразливість вже повідомили Microsoft раніше, але вони вважають це "фіча".
Спеціально створені теми для Windows 10 можуть бути використані в атаках Pass-the-Hash для крадіжки облікових даних Windows у користувачів, які нічого не підозрюють.
Windows дозволяє користувачам створювати власні теми, що містять кольори, звуки, курсори миші та шпалери, що налаштовуються, які буде використовувати операційна система. Після цього користувачі Windows можуть перемикатися між різними темами за бажанням, щоб змінити зовнішній вигляд операційної системи.
Налаштування теми зберігаються у папці % AppData% Microsoft Windows Themesяк файл з розширенням .theme, наприклад Custom Dark.theme.
Теми Windows можуть бути передані іншим користувачам, клацнувши правою кнопкою миші активну тему і вибравши "Зберегти тему для спільного використання", в результаті чого тема буде упакована у файл.deskthemepack.
Ці пакети тем можна потім відправити електронною поштою або завантажити на веб-сайт і встановити, двічі клацнувши файл.
Теми користувача можна використовувати для крадіжки паролів Windows
Ці вихідні дослідник безпеки Джиммі Бейн виявив, що створені користувачами теми для Windows можуть використовуватися для виконання атаки Pass-the-Hash.
Атаки Pass-the-Hash використовуються для крадіжки імен користувачів Windows та хешів паролів шляхом обману користувача для отримання доступу до віддаленого загального ресурсу SMB, який вимагає автентифікації.
При спробі доступу до віддаленого ресурсу Windows автоматично спробує увійти у віддалену систему, надіславши ім’я користувача Windows для входу та NTLM-хеш його пароля.
При атаці Pass-the-Hash відправлені облікові дані збираються зловмисниками, які потім розшифровують пароль та одержують ім’я користувача відвідувача.
У тесті, раніше проведеному виданням BleepingComputer, зламування простого пароля займало близько 4 секунд.
Злом NTLM-паролю за чотири секунди
Зловмисник може створити власний файл.
Шкідливий файл теми Windows Джерело: Джиммі Бейн
Коли Windows намагається отримати доступ до ресурсу, що вимагає віддаленої автентифікації, вона автоматично спробує увійти до спільного ресурсу, надіславши NTLM-хеш та ім’я для входу до облікового запису.
Автоматична спроба авторизації
Потім зловмисник може зібрати облікові дані та розшифрувати пароль за допомогою спеціальних скриптів.
Збір облікових даних Windows Джерело: Джиммі Бейн
Оскільки атака Pass-the-Hash дозволяє вкрасти обліковий запис, що використовується для входу до Windows, включаючи обліковий запис Microsoft, цей тип атаки стає більш проблематичним.
Оскільки Microsoft переходить від локальних облікових записів Windows 10 до облікових записів Microsoft, віддалені зловмисники можуть використовувати цю атаку для більш легкого доступу до багатьох віддалених служб, що пропонуються Microsoft .
Це включає можливість віддаленого доступу до електронної пошти, Azure або корпоративних мереж.
Бейн заявив, що повідомив про цю атаку Microsoft раніше цього року, але йому сказали, що її не буде виправлено, оскільки це «особливість за задумом».
Захист від шкідливих файлів тем
Для захисту від шкідливих файлів тем Бейн порадив усім заблокувати або повторно зв’язати розширення .theme, .themepackі .desktopthemepackfileз іншою програмою.
Однак це порушить роботу тем Windows 10, тому використовуйте цю пораду тільки в тому випадку, якщо вам не потрібно буде в майбутньому перемикатися на іншу тему.
Користувачі Windows також можуть налаштувати групову політику під назвою «Мережева безпека: обмежити NTLM: вихідний трафік NTLM на віддалені сервери» та встановити для неї значення «Заборонити все », щоб ваші облікові дані NTLM не надсилалися на віддалені вузли.
Обмежити NTLM: вихідний трафік NTLM на віддалені сервери
Зверніть увагу, що налаштування цього параметра може викликати проблеми в корпоративних середовищах, які використовують віддалені загальні ресурси.
Ми також радимо включити двофакторну автентифікацію на ваших облікових записах Microsoft, щоб запобігти віддаленому доступу до них зловмисників, навіть якщо вони успішно вкрали ваші облікові дані.