Пользовательские темы Windows 10 теперь могут красть учетные данные пользователей

Недавно исследователь безопасности обнаружил уязвимость в настройках пользовательских тем Windows 10, которая может позволить хакерам украсть учетную информацию у своих жертв.

Для тех, кто не в курсе, тема Windows — это набор модификаций интерфейса, который изменяет внешний вид и ощущения от Windows. Тема может изменять стандартные значки Windows, курсор мыши, звуки и фон рабочего стола, которые будет использовать операционная система.

Пользователи Windows могут делиться своими темами с другими пользователями через интерфейс настроек, щелкнув правой кнопкой мыши на текущей активной теме в разделе Персонализация > Темы и выбрав «Сохранить тему для совместного использования». Это упакует тему в файл ‘.deskthemepack’ для совместного использования по электронной почте или в качестве загрузок на веб-сайтах, которые затем можно скачать и установить.

Джимми Бейн (@bohops), который нашел уязвимость, сообщил, что специально созданные темы Windows могут быть использованы для проведения атаки «Pass-the-Hash». Злоумышленник может создать вредоносный файл темы и перенаправить его на страницу, которая запрашивает у пользователя учетные данные.

Pass-the-Hash — это техника взлома, которая позволяет злоумышленнику аутентифицироваться на удаленном сервере или сервисе, используя базовый хэш NTLM или LanMan пароля пользователя, вместо того чтобы требовать связанный открытый пароль, как это обычно бывает. Это заменяет необходимость в краже открытого пароля просто кражей хэша и его использованием для аутентификации.

[Трюк по сбору учетных данных] Используя файл .theme Windows, ключ Wallpaper может быть настроен на указание на удаленный ресурс http/s, требующий аутентификации. Когда пользователь активирует файл темы (например, открыв его по ссылке/вложению), пользователю отображается запрос учетных данных Windows 1/4 pic.twitter.com/rgR3a9KP6Q — bohops (@bohops) 5 сентября 2020 г.

Используя эту информацию, злоумышленник может создать специально подготовленный файл “.theme” и изменить фон рабочего стола на веб-сайт, который требует учетных данных. Когда ничего не подозревающие пользователи используют этот файл темы и вводят свои учетные данные, хэш NTLM отправляется на сайт для аутентификации. Его можно расшифровать с помощью специальных инструментов для де-хеширования.

Бейн объяснил, что пользователи должны быть осторожны при загрузке и установке пакетов тем, которые в основном публикуются в Интернете другими пользователями. Чтобы защитить систему от вредоносных тем, исследователь предлагает заблокировать или переназначить расширения .theme, .themepack и .desktopthemepackfile на другую программу.

Бейн сообщил об этих находках в Центр реагирования на безопасность Microsoft (MSRC). Однако ошибка не была исправлена, потому что это было «особенность по дизайну». Неясно, есть ли у компании планы по исправлению проблемы в будущем.

Поскольку большинство пользователей входят в свои учетные записи Microsoft в Windows 10 для доступа к электронной почте, OneDrive и даже данным Azure, кража учетных данных также ставит их под угрозу. В качестве первичной меры безопасности учетной записи всегда лучше включить двухфакторную аутентификацию для своих учетных записей Microsoft, чтобы предотвратить удаленный доступ злоумышленников.