Les thèmes personnalisés de Windows 10 peuvent désormais voler les identifiants des utilisateurs

Un chercheur en sécurité a récemment découvert une vulnérabilité dans les paramètres des thèmes personnalisés de Windows 10 qui pourrait permettre aux hackers de voler des informations de compte de leurs victimes.

Pour ceux qui ne le savent pas, un thème Windows est un ensemble de modifications de l’interface qui change l’apparence et la sensation de Windows. Un thème peut modifier les icônes standard de Windows, le curseur de la souris, les sons et le fond d’écran que le système d’exploitation utilisera.

Les utilisateurs de Windows peuvent partager leurs thèmes avec d’autres utilisateurs via l’interface des paramètres en cliquant avec le bouton droit sur le thème actuellement actif sous Personnalisation > Thèmes et en sélectionnant « Enregistrer le thème pour le partage ». Cela va empaqueter le thème dans un fichier ‘.deskthemepack’ pour le partage par email ou comme téléchargements sur des sites web, qui peuvent ensuite être téléchargés et installés.

Jimmy Bayne (@bohops) qui a trouvé la faille a révélé que des thèmes Windows spécialement conçus pourraient être utilisés pour réaliser une attaque ‘Pass-the-Hash’. L’attaquant pourrait créer un fichier de thème malveillant et le rediriger vers une page qui demande à l’utilisateur ses identifiants.

Pass-the-Hash est une technique de hacking qui permet à un attaquant de s’authentifier sur un serveur ou un service distant en utilisant le hash NTLM ou LanMan du mot de passe d’un utilisateur, au lieu de nécessiter le mot de passe en clair associé comme c’est normalement le cas. Cela remplace le besoin de voler le mot de passe en clair par le simple vol du hash et son utilisation pour s’authentifier.

[Truc de collecte d’identifiants] En utilisant un fichier .theme de Windows, la clé Wallpaper peut être configurée pour pointer vers une ressource http/s nécessitant une authentification distante. Lorsque l’utilisateur active le fichier de thème (par exemple, ouvert à partir d’un lien/joint), une invite de crédentiel Windows est affichée à l’utilisateur 1/4 pic.twitter.com/rgR3a9KP6Q — bohops (@bohops) 5 septembre 2020

En utilisant ces informations, un attaquant pourrait créer un « fichier .theme » spécialement conçu et changer le fond d’écran par défaut du bureau pour un site web nécessitant des identifiants. Lorsque les utilisateurs non méfiants utilisent ce fichier de thème et saisissent leurs identifiants, un hash NTLM est envoyé au site pour authentification. Cela peut être déchiffré à l’aide d’outils de dé-hachage spéciaux.

Bayne a expliqué que les utilisateurs devraient faire attention lors du téléchargement et de l’installation de packs de thèmes principalement publiés sur le Web par d’autres utilisateurs. Afin de protéger le système contre les thèmes malveillants, le chercheur suggère de bloquer ou de réassocier les extensions .theme, .themepack et .desktopthemepackfile à un autre programme.

Bayne a signalé ces découvertes au Centre de réponse aux incidents de sécurité de Microsoft (MSRC). Cependant, le bug n’a pas été corrigé car c’était une « fonctionnalité par conception ». Il n’est pas clair si l’entreprise a des plans pour corriger le problème à l’avenir.

Étant donné que la plupart des utilisateurs se connectent à leurs comptes Microsoft dans Windows 10 pour accéder aux emails, OneDrive et même aux données Azure, le vol des identifiants met également ces derniers en danger. En tant que mesure principale de sécurité des comptes, il est toujours préférable d’activer l’authentification à deux facteurs pour vos comptes Microsoft afin d’empêcher l’accès à distance par des attaquants.