Temas Personalizados do Windows 10 Podem Agora Roubar Credenciais de Usuários

Um pesquisador de segurança descobriu recentemente uma vulnerabilidade nas configurações de temas personalizados do Windows 10 que poderia permitir que hackers roubassem informações de conta de suas vítimas.

Para quem não sabe, um tema do Windows é uma coleção de modificações na interface que muda a aparência e a sensação do Windows. Um tema pode alterar os ícones padrão do Windows, o cursor do mouse, sons e o fundo da área de trabalho que o sistema operacional usará.

Os usuários do Windows podem compartilhar seus temas com outros usuários através da interface de Configurações clicando com o botão direito no tema atualmente ativo em Personalização > Temas e selecionando “Salvar tema para compartilhamento”. Isso empacotará o tema em um arquivo ‘.deskthemepack’ para compartilhamento via e-mail ou como downloads em sites, que podem ser baixados e instalados.

Jimmy Bayne (@bohops) que encontrou a falha revelou que temas do Windows especialmente elaborados poderiam ser usados para realizar um ataque ‘Pass-the-Hash’. O atacante poderia criar um arquivo de tema malicioso e redirecioná-lo para uma página que solicita as credenciais do usuário.

Pass-the-Hash é uma técnica de hacking que permite que um atacante se autentique em um servidor ou serviço remoto usando o hash NTLM ou LanMan da senha de um usuário, em vez de exigir a senha em texto simples associada, como normalmente é o caso. Ela substitui a necessidade de roubar a senha em texto simples apenas roubando o hash e usando isso para autenticar.

[Truque de Coleta de Credenciais] Usando um arquivo .theme do Windows, a chave Wallpaper pode ser configurada para apontar para um recurso http/s remoto que requer autenticação. Quando um usuário ativa o arquivo de tema (por exemplo, aberto a partir de um link/anexo), um prompt de credenciais do Windows é exibido para o usuário 1/4 pic.twitter.com/rgR3a9KP6Q — bohops (@bohops) 5 de setembro de 2020

Usando essas informações, um atacante poderia criar um “arquivo .theme” especialmente elaborado e mudar o papel de parede da área de trabalho padrão para um site que requer credenciais. Quando os usuários desavisados usam este arquivo de tema e inserem suas credenciais, um hash NTLM é enviado para o site para autenticação. Isso pode ser quebrado usando ferramentas especiais de des-hashing.

Bayne explicou que os usuários devem ter cuidado ao baixar e instalar pacotes de temas que são principalmente publicados na Web por outros usuários. Para proteger o sistema de temas maliciosos, o pesquisador sugere bloquear ou re-associar as extensões .theme, .themepack e .desktopthemepackfile a um programa diferente.

Bayne relatou essas descobertas ao Centro de Resposta de Segurança da Microsoft (MSRC). No entanto, o bug não foi corrigido porque era uma “funcionalidade por design”. Não está claro se a empresa tem planos de corrigir o problema no futuro.

Como a maioria dos usuários faz login em suas contas da Microsoft no Windows 10 para acessar e-mails, OneDrive e até dados do Azure, o roubo das credenciais também coloca esses em risco. Como uma medida primária de segurança da conta, é sempre melhor habilitar a autenticação de dois fatores para suas contas da Microsoft para prevenir o acesso remoto por atacantes.