Специално изработени теми и пакети с теми за Windows 10 могат да се използват при атаки „Pass-the-Hash“ за кражба на идентификационни данни за акаунти в Windows от нищо неподозиращи потребители.
Windows позволява на потребителите да създават персонализирани теми, които съдържат персонализирани цветове, звуци, курсори на мишката и тапети, които операционната система ще използва. След това потребителите на Windows могат да превключват между различни теми по желание, за да променят външния вид на операционната система.
Настройките на дадена тема се записват в папката% AppData% \ Microsoft \ Windows \ Themes като файл с разширение .theme, като например „Custom Dark.theme“.
След това темите на Windows могат да се споделят с други потребители, като щракнете с десния бутон на мишката върху активна тема и изберете „Запазване на тема за споделяне“, което ще опакова темата във файл „.deskthemepack”. Тези пакети с теми на работния плот могат да бъдат споделени по имейл или като изтегляния от уебсайтове и инсталирани чрез двукратно щракване върху тях.
Персонализирани теми могат да се използват за кражба на пароли за Windows 10
Този уикенд изследователят по сигурността Джими Бейн (@bohops) разкри, че специално изработени теми за Windows могат да се използват за извършване на Pass-the-Hash атаки.
Атаките Pass-the-Hash се използват за кражба на имена за вход в Windows и хешове на пароли, като подвеждат потребителя да осъществи достъп до отдалечен SMB дял, който изисква удостоверяване.
Когато се опитва да осъществи достъп до отдалечения ресурс, Windows автоматично ще се опита да влезе в отдалечената система, като изпрати потребителското име на потребителя на Windows и NTLM хеш на паролата си.
При атака Pass-the-Hash изпратените идентификационни данни се събират от нападателите, които след това се опитват да деашират паролата за достъп до потребителското име и парола за вход.
В тест, направен по-рано от 2 изследователя, премахването на лесна парола му отне около 4 секунди!
В новия метод, открит от Bayne, нападателят може да създаде специално създаден .theme файл и да промени настройката на тапета на работния плот, за да използва ресурс, необходим за дистанционно удостоверяване, като този по-долу.
Когато Windows се опита да осъществи достъп до необходимия ресурс за дистанционно удостоверяване, той автоматично ще се опита да влезе в споделянето, като изпрати хеш-файла на NTLM и името за влизане в профила.
След това нападателят може да събере идентификационните данни и да премахне паролата с помощта на специални скриптове, така че да придобие чист текстов вид.
Тъй като Pass-the-Hash атаките ще изпратят акаунта, използван за влизане в Windows, включително акаунт на Microsoft, този тип атака става все по-опасна.
Тъй като Microsoft се отдалечава от локални акаунти в Windows 10 и към акаунти на Microsoft, отдалечените хакери могат по този начин да си осигурят по-лесен достъп до безброй отдалечени услуги, предлагани от Microsoft.
Това включва възможност за отдалечен достъп до имейл, Azure или достъпни корпоративни мрежи.
Бейн заяви, че е разкрил този пробив пред Microsoft по-рано тази година, но му е казано, че няма да бъде коригиран, тъй като това е „функция по дизайн“.
Как да се защитим?
За да се предпазим от злонамерени файлове с теми, Бейн препоръчва да блокираме или да свържем повторно разширенията .theme, .themepack и .desktopthemepackfile с друга програма.
Това обаче ще наруши функцията Windows 10 Themes, така че я използвайте само ако не е необходимо да превключвате към друга тема.
Потребителите на Windows могат да конфигурират групова политика, наречена „Защита на мрежата: Ограничаване на NTLM: Изходящ NTLM трафик до отдалечени сървъри“ и да го зададе на „Отхвърляне на всички“, за да предотврати изпращането на вашите NTLM идентификационни данни към отдалечени хостове.
Моля, обърнете внимание, че конфигурирането на тази опция може да причини проблеми в корпоративни среди, които използват отдалечени споделяния.
По материали от интернет