윈도우 10 사용자 정의 테마가 이제 사용자 자격 증명을 탈취할 수 있습니다

최근 보안 연구원이 해커가 피해자의 계정 정보를 탈취할 수 있는 윈도우 10의 사용자 정의 테마 설정에서 취약점을 발견했습니다.

모르는 분들을 위해, 윈도우 테마는 윈도우의 모양과 느낌을 변경하는 인터페이스 수정의 모음입니다. 테마는 운영 체제가 사용할 표준 윈도우 아이콘, 마우스 커서, 소리 및 바탕 화면 배경을 변경할 수 있습니다.

윈도우 사용자는 개인 설정 > 테마 아래에서 현재 활성화된 테마를 마우스 오른쪽 버튼으로 클릭하고 “공유를 위한 테마 저장”을 선택하여 다른 사용자와 테마를 공유할 수 있습니다. 이렇게 하면 테마가 이메일을 통해 공유하거나 웹사이트에서 다운로드할 수 있는 ‘.deskthemepack’ 파일로 패키징됩니다. 이후 다운로드하여 설치할 수 있습니다.

이 허점을 발견한 Jimmy Bayne (@bohops)는 특별히 제작된 윈도우 테마가 ‘패스-더-해시’ 공격을 수행하는 데 사용될 수 있다고 밝혔습니다. 공격자는 악성 테마 파일을 생성하고 사용자의 자격 증명을 요청하는 페이지로 리디렉션할 수 있습니다.

패스-더-해시는 공격자가 사용자의 비밀번호에 대한 기본 NTLM 또는 LanMan 해시를 사용하여 원격 서버나 서비스에 인증할 수 있게 해주는 해킹 기술입니다. 이는 일반적으로 필요한 평문 비밀번호를 훔치는 대신 해시를 훔쳐서 인증하는 방식으로 대체됩니다.

[자격 증명 수집 트릭] 윈도우 .theme 파일을 사용하여 배경화면 키를 원격 인증이 필요한 http/s 리소스를 가리키도록 구성할 수 있습니다. 사용자가 테마 파일을 활성화하면 (예: 링크/첨부 파일에서 열었을 때) 윈도우 자격 증명 프롬프트가 사용자에게 표시됩니다. 1/4 pic.twitter.com/rgR3a9KP6Q — bohops (@bohops) 2020년 9월 5일

이 정보를 사용하여 공격자는 특별히 제작된 “.theme 파일”을 생성하고 기본 바탕 화면 배경을 자격 증명이 필요한 웹사이트로 변경할 수 있습니다. 이 테마 파일을 사용하는 의심 없는 사용자가 자격 증명을 입력하면 NTLM 해시가 인증을 위해 사이트로 전송됩니다. 이는 특별한 해시 복원 도구를 사용하여 해독될 수 있습니다.

Bayne은 사용자가 다른 사용자가 주로 웹에 게시한 테마 팩을 다운로드하고 설치하는 데 주의해야 한다고 설명했습니다. 악성 테마로부터 시스템을 보호하기 위해 연구자는 .theme, .themepack 및 .desktopthemepackfile 확장자를 다른 프로그램으로 차단하거나 재연결할 것을 제안합니다.

Bayne은 이러한 발견을 마이크로소프트의 보안 대응 센터(MSRC)에 보고했습니다. 그러나 이 버그는 “설계에 의한 기능”이기 때문에 수정되지 않았습니다. 회사가 향후 이 문제를 수정할 계획이 있는지는 불확실합니다.

대부분의 사용자가 윈도우 10에서 이메일, OneDrive 및 Azure 데이터에 접근하기 위해 마이크로소프트 계정에 로그인하기 때문에 자격 증명의 도난은 이러한 것들도 위험에 빠뜨립니다. 계정 보안의 주요 조치로, 공격자의 원격 접근을 방지하기 위해 마이크로소프트 계정에 대해 항상 이중 인증을 활성화하는 것이 좋습니다.