Nowe odkrycie przez badacza bezpieczeństwa Jimmy Bayne , który ujawnił to na Twitterze, ujawnia lukę w silniku motywów systemu Windows 10, którą można wykorzystać do kradzieży danych uwierzytelniających użytkowników. Specjalny zniekształcony motyw po otwarciu przekierowuje użytkowników do strony, która monituje ich o podanie poświadczeń.
Reklama
jak uzyskać wyższy wynik przyciągania
Jak być może już wiesz, Windows umożliwia udostępnianie motywów w Ustawieniach. Można to zrobić, otwierając Ustawienia> Personalizacja> Motywy, a następnie wybierając opcję „Zapisz motyw do udostępnienia
'z menu. Spowoduje to utworzenie nowego *.deskthemepack
które użytkownik może przesyłać do Internetu, wysyłać pocztą e-mail lub udostępniać innym na różne sposoby. Inni użytkownicy mogą pobrać takie pliki i zainstalować je jednym kliknięciem.
Atakujący może w podobny sposób utworzyć plik „.theme”, w którym domyślne ustawienie tapety wskazuje na witrynę internetową wymagającą uwierzytelnienia. Gdy niczego niepodejrzewający użytkownicy wprowadzają swoje poświadczenia, do witryny jest wysyłany skrót NTLM szczegółów w celu uwierzytelnienia. Niezłożone hasła są następnie otwierane przy użyciu specjalnego oprogramowania do usuwania haszowania.
[Sztuczka dotycząca zbierania poświadczeń] Korzystając z pliku .theme systemu Windows, klawisz Wallpaper można skonfigurować tak, aby wskazywał na zdalny zasób http / s wymagający uwierzytelnienia. Gdy użytkownik aktywuje plik motywu (np. Otwarty z linku / załącznika), zostanie wyświetlony monit systemu Windows o kredyt.
Czym są pliki * .theme?
Z technicznego punktu widzenia pliki * .theme to pliki * .ini, które zawierają szereg sekcji, które system Windows odczytuje i zmienia wygląd systemu operacyjnego zgodnie z instrukcjami, które znalazł. Plik motywu określa kolor akcentu, tapety do zastosowania i kilka innych opcji.
jak przesyłać pliki z komputera na telefon z systemem Android za pomocą Wi-Fi?
Jedna z jego sekcji wygląda następująco.
[Panel sterowania Pulpit]
Wallpaper =% WinDir% web wallpaper Windows img0.jpg
Określa domyślną tapetę stosowaną podczas instalowania motywu przez użytkownika. Zamiast ścieżki lokalnej, wskazuje badacz, można ją ustawić na zdalny zasób, który może zostać wykorzystany do zmuszenia użytkownika do wprowadzenia swoich danych uwierzytelniających. Klawisz tapety znajduje się w sekcji „Panel sterowania Pulpit” pliku .theme. Inne klucze mogą być prawdopodobnie używane w ten sam sposób i może to również działać w przypadku ujawniania wartości skrótu netNTLM, gdy jest ustawiony na zdalne lokalizacje plików, mówi Jimmy Bayne.
Badacz zapewnia metoda łagodzenia problemu.
Z perspektywy defensywnej blokuj / ponownie kojarz / szukaj rozszerzeń „motyw”, „pakiet tematyczny”, „plik pakietu pulpitu”. W przeglądarkach przed otwarciem użytkownikom należy przedstawić czek. W ostatnich latach ujawniono inne wulgaryzmy CVE, dlatego warto się nimi zająć i ograniczyć
Źródło: Neowin