Windows 10 Anpassbare Designs können jetzt Benutzeranmeldeinformationen stehlen

Ein Sicherheitsforscher hat kürzlich eine Schwachstelle in den Einstellungen für benutzerdefinierte Windows 10-Themen entdeckt, die es Hackern ermöglichen könnte, Kontoinformationen von ihren Opfern zu stehlen.

Für diejenigen, die es nicht wissen, ist ein Windows-Thema eine Sammlung von Modifikationen der Benutzeroberfläche, die das Aussehen und das Gefühl von Windows verändert. Ein Thema kann die Standard-Windows-Icons, den Mauszeiger, die Sounds und den Desktop-Hintergrund, die das Betriebssystem verwendet, ändern.

Windows-Benutzer können ihre Themen über die Einstellungen-Benutzeroberfläche mit anderen Benutzern teilen, indem sie mit der rechten Maustaste auf das derzeit aktive Thema unter Personalisierung > Themen klicken und „Thema zum Teilen speichern“ auswählen. Dies verpackt das Thema in eine „.deskthemepack“-Datei, die per E-Mail oder als Downloads auf Websites geteilt werden kann, die dann heruntergeladen und installiert werden kann.

Jimmy Bayne (@bohops), der die Sicherheitslücke gefunden hat, enthüllte, dass speziell gestaltete Windows-Themen verwendet werden könnten, um einen „Pass-the-Hash“-Angriff durchzuführen. Der Angreifer könnte eine bösartige Themen-Datei erstellen und sie auf eine Seite umleiten, die den Benutzer nach Anmeldeinformationen fragt.

Pass-the-Hash ist eine Hacking-Technik, die es einem Angreifer ermöglicht, sich bei einem Remote-Server oder Dienst zu authentifizieren, indem er den zugrunde liegenden NTLM- oder LanMan-Hash eines Benutzerpassworts verwendet, anstatt das zugehörige Klartextpasswort zu verlangen, wie es normalerweise der Fall ist. Es ersetzt die Notwendigkeit, das Klartextpasswort zu stehlen, durch das bloße Stehlen des Hashs und die Verwendung dieses Hashs zur Authentifizierung.

[Credential Harvesting Trick] Mit einer Windows .theme-Datei kann der Wallpaper-Schlüssel so konfiguriert werden, dass er auf eine Remote-HTTP/S-Ressource verweist, die eine Authentifizierung erfordert. Wenn ein Benutzer die Themen-Datei aktiviert (z. B. über einen Link/Anhang geöffnet), wird dem Benutzer eine Windows-Anmeldeaufforderung angezeigt 1/4 pic.twitter.com/rgR3a9KP6Q — bohops (@bohops) 5. September 2020

Mit diesen Informationen könnte ein Angreifer eine speziell gestaltete „.theme-Datei“ erstellen und den Standard-Desktop-Hintergrund auf eine Website ändern, die Anmeldeinformationen erfordert. Wenn die ahnungslosen Benutzer diese Themen-Datei verwenden und ihre Anmeldeinformationen eingeben, wird ein NTLM-Hash an die Website zur Authentifizierung gesendet. Dieser kann mit speziellen De-Hashing-Tools geknackt werden.

Bayne erklärte, dass Benutzer vorsichtig sein sollten, wenn sie Themenpakete herunterladen und installieren, die hauptsächlich von anderen Benutzern im Internet veröffentlicht werden. Um das System vor bösartigen Themen zu schützen, schlägt der Forscher vor, die .theme-, .themepack- und .desktopthemepackfile-Erweiterungen zu einem anderen Programm zu blockieren oder neu zuzuordnen.

Bayne meldete diese Erkenntnisse an Microsofts Security Response Center (MSRC). Der Fehler wurde jedoch nicht behoben, da es sich um ein „Feature by Design“ handelte. Es ist unklar, ob das Unternehmen plant, das Problem in Zukunft zu beheben.

Da die meisten Benutzer sich in Windows 10 in ihre Microsoft-Konten einloggen, um auf E-Mails, OneDrive und sogar Azure-Daten zuzugreifen, gefährdet der Diebstahl der Anmeldeinformationen auch diese. Als primäre Maßnahme zur Kontosicherheit ist es immer besser, die Zwei-Faktor-Authentifizierung für Ihre Microsoft-Konten zu aktivieren, um den Fernzugriff durch Angreifer zu verhindern.