Windows 10のカスタムテーマがユーザーの認証情報を盗むことができるようになった

最近、セキュリティ研究者がカスタムWindows 10テーマ設定の脆弱性を発見し、ハッカーが被害者のアカウント情報を盗むことができる可能性があることがわかりました。

知らない方のために、Windowsテーマとは、Windowsの見た目や感触を変更するインターフェースの変更のコレクションです。テーマは、オペレーティングシステムが使用する標準のWindowsアイコン、マウスカーソル、サウンド、デスクトップ背景を変更することがあります。

Windowsユーザーは、設定UIを介して、パーソナライズ > テーマの下にある現在のアクティブテーマを右クリックし、「共有用にテーマを保存」を選択することで、他のユーザーとテーマを共有できます。これにより、テーマは「.deskthemepack」ファイルにパッケージ化され、メールやウェブサイトのダウンロードとして共有され、その後ダウンロードしてインストールできます。

Jimmy Bayne（@bohops）がこの抜け穴を発見し、特別に作成されたWindowsテーマが「パス・ザ・ハッシュ」攻撃を実行するために使用される可能性があることを明らかにしました。攻撃者は悪意のあるテーマファイルを作成し、ユーザーに認証情報を要求するページにリダイレクトすることができます。

パス・ザ・ハッシュは、攻撃者がユーザーのパスワードの基盤となるNTLMまたはLanManハッシュを使用してリモートサーバーまたはサービスに認証することを可能にするハッキング技術です。通常のケースでは関連する平文のパスワードを必要とする代わりに、平文のパスワードを盗む必要をハッシュを盗むことに置き換え、それを使用して認証します。

[認証情報収集トリック] Windows .themeファイルを使用すると、Wallpaperキーをリモートの認証が必要なhttp/sリソースを指すように設定できます。ユーザーがテーマファイルをアクティブにすると（例：リンク/添付ファイルから開いた場合）、Windowsの認証情報プロンプトがユーザーに表示されます 1/4 pic.twitter.com/rgR3a9KP6Q — bohops (@bohops) 2020年9月5日

この情報を使用して、攻撃者は特別に作成された「.themeファイル」を作成し、デフォルトのデスクトップ壁紙を認証情報を必要とするウェブサイトに変更できます。このテーマファイルを使用し、認証情報を入力した無防備なユーザーに対して、NTLMハッシュが認証のためにサイトに送信されます。これは特別なデハッシングツールを使用して解読することができます。

Bayneは、ユーザーは他のユーザーによって主にWeb上で公開されているテーマパックのダウンロードとインストールに注意するべきだと説明しました。悪意のあるテーマからシステムを保護するために、研究者は.theme、.themepack、および.desktopthemepackfile拡張子を異なるプログラムにブロックまたは再関連付けすることを提案しています。

Bayneはこれらの発見をMicrosoftのセキュリティ応答センター（MSRC）に報告しました。しかし、このバグは「設計上の機能」であったため修正されませんでした。将来的にこの問題を修正する計画があるかどうかは不明です。

ほとんどのユーザーがWindows 10でMicrosoftアカウントにログインしてメール、OneDrive、さらにはAzureデータにアクセスするため、認証情報の盗難はこれらを危険にさらすことになります。アカウントセキュリティの主要な対策として、攻撃者によるリモートアクセスを防ぐために、Microsoftアカウントに対して二要素認証を有効にすることが常に推奨されます。