Los temas personalizados de Windows 10 ahora pueden robar credenciales de usuario

Un investigador de seguridad descubrió recientemente una vulnerabilidad en la configuración de temas personalizados de Windows 10 que podría permitir a los hackers robar información de cuentas de sus víctimas.

Para aquellos que no lo saben, un tema de Windows es una colección de modificaciones a la interfaz que cambia la forma en que Windows se ve y se siente. Un tema puede alterar los íconos estándar de Windows, el cursor del mouse, los sonidos y el fondo de escritorio que el sistema operativo utilizará.

Los usuarios de Windows pueden compartir sus temas con otros usuarios a través de la interfaz de Configuración haciendo clic derecho en el tema activo actualmente bajo Personalización > Temas y seleccionando “Guardar tema para compartir”. Esto empaquetará el tema en un archivo ‘.deskthemepack’ para compartir por correo electrónico o como descargas en sitios web, que luego pueden ser descargados e instalados.

Jimmy Bayne ( @bohops) quien encontró la vulnerabilidad reveló que los temas de Windows especialmente diseñados podrían ser utilizados para llevar a cabo un ataque de ‘Pass-the-Hash’. El atacante podría crear un archivo de tema malicioso y redirigirlo a una página que solicita al usuario sus credenciales.

Pass-the-Hash es una técnica de hacking que permite a un atacante autenticarse en un servidor o servicio remoto utilizando el hash NTLM o LanMan de la contraseña de un usuario, en lugar de requerir la contraseña en texto plano asociada como es normalmente el caso. Reemplaza la necesidad de robar la contraseña en texto plano con simplemente robar el hash y usarlo para autenticarse.

[Truco de recolección de credenciales] Usando un archivo .theme de Windows, la clave Wallpaper puede configurarse para apuntar a un recurso http/s remoto que requiere autenticación. Cuando un usuario activa el archivo de tema (por ejemplo, abierto desde un enlace/adjunto), se muestra un aviso de credenciales de Windows al usuario 1/4 pic.twitter.com/rgR3a9KP6Q — bohops (@bohops) 5 de septiembre de 2020

Usando esta información, un atacante podría crear un “archivo .theme” especialmente diseñado y cambiar el fondo de escritorio predeterminado a un sitio web que requiere credenciales. Cuando los usuarios desprevenidos utilizan este archivo de tema e ingresan sus credenciales, un hash NTLM se envía al sitio para autenticación. Esto puede ser descifrado utilizando herramientas especiales de de-hashing.

Bayne explicó que los usuarios deben tener cuidado al descargar e instalar paquetes de temas que son publicados principalmente en la Web por otros usuarios. Para proteger el sistema de temas maliciosos, el investigador sugiere bloquear o reasociar las extensiones .theme, .themepack y .desktopthemepackfile a un programa diferente.

Bayne reportó estos hallazgos al Centro de Respuesta de Seguridad de Microsoft (MSRC). Sin embargo, el error no fue corregido porque era una “característica por diseño”. No está claro si la compañía tiene planes para solucionar el problema en el futuro.

Dado que la mayoría de los usuarios inician sesión en sus cuentas de Microsoft en Windows 10 para acceder a correos electrónicos, OneDrive e incluso datos de Azure, el robo de credenciales también pone en riesgo estos servicios. Como medida principal de seguridad de la cuenta, siempre es mejor habilitar la autenticación de dos factores para sus cuentas de Microsoft para prevenir el acceso remoto por parte de atacantes.