I temi personalizzati di Windows 10 possono ora rubare le credenziali degli utenti

Un ricercatore di sicurezza ha recentemente scoperto una vulnerabilità nelle impostazioni dei temi personalizzati di Windows 10 che potrebbe consentire agli hacker di rubare informazioni sugli account delle loro vittime.

Per chi non lo sapesse, un tema di Windows è una raccolta di modifiche all’interfaccia che cambia l’aspetto e la sensazione di Windows. Un tema può alterare le icone standard di Windows, il cursore del mouse, i suoni e lo sfondo del desktop che il sistema operativo utilizzerà.

Gli utenti di Windows possono condividere i loro temi con altri utenti tramite l’interfaccia delle Impostazioni facendo clic con il tasto destro sul tema attivo attualmente sotto Personalizzazione > Temi e selezionando “Salva tema per la condivisione”. Questo impacchetterà il tema in un file ‘.deskthemepack’ per la condivisione via email o come download su siti web, che possono poi essere scaricati e installati.

Jimmy Bayne (@bohops) che ha trovato la falla ha rivelato che temi di Windows appositamente creati potrebbero essere utilizzati per eseguire un attacco ‘Pass-the-Hash’. L’attaccante potrebbe creare un file di tema malevolo e reindirizzarlo a una pagina che richiede all’utente di inserire le credenziali.

Pass-the-Hash è una tecnica di hacking che consente a un attaccante di autenticarsi a un server o servizio remoto utilizzando l’hash NTLM o LanMan della password di un utente, invece di richiedere la password in chiaro associata, come avviene normalmente. Sostituisce la necessità di rubare la password in chiaro con il semplice furto dell’hash e l’utilizzo di quello per autenticarsi.

[Trucco di raccolta delle credenziali] Utilizzando un file .theme di Windows, la chiave Wallpaper può essere configurata per puntare a una risorsa http/s remota che richiede autenticazione. Quando un utente attiva il file tema (ad es. aperto da un link/allegato), viene visualizzato un prompt di credenziali di Windows per l’utente 1/4 pic.twitter.com/rgR3a9KP6Q — bohops (@bohops) 5 settembre 2020

Utilizzando queste informazioni, un attaccante potrebbe creare un “file .theme” appositamente creato e cambiare lo sfondo del desktop predefinito in un sito web che richiede credenziali. Quando gli utenti ignari utilizzano questo file tema e inseriscono le loro credenziali, un hash NTLM viene inviato al sito per l’autenticazione. Questo può essere decifrato utilizzando strumenti speciali di de-hashing.

Bayne ha spiegato che gli utenti dovrebbero fare attenzione a scaricare e installare pacchetti tema pubblicati principalmente sul Web da altri utenti. Per proteggere il sistema da temi malevoli, il ricercatore suggerisce di bloccare o riassociare le estensioni .theme, .themepack e .desktopthemepackfile a un programma diverso.

Bayne ha segnalato queste scoperte al Microsoft Security Response Center (MSRC). Tuttavia, il bug non è stato risolto perché era una “caratteristica progettata”. Non è chiaro se l’azienda ha piani per risolvere il problema in futuro.

Poiché la maggior parte degli utenti accede ai propri account Microsoft in Windows 10 per accedere a email, OneDrive e persino dati Azure, il furto delle credenziali mette a rischio anche questi. Come misura primaria di sicurezza dell’account, è sempre meglio abilitare l’autenticazione a due fattori per i propri account Microsoft per prevenire l’accesso remoto da parte degli attaccanti.