Nowe odkrycie przez badacza bezpieczeństwa Jimmy Bayne , który ujawnił to na Twitterze, ujawnia lukę w silniku motywów systemu Windows 10, którą można wykorzystać do kradzieży danych uwierzytelniających użytkowników. Specjalny zniekształcony motyw po otwarciu przekierowuje użytkowników do strony, która monituje ich o podanie poświadczeń.
Reklama
jak uzyskać wyższy wynik przyciągania
Jak być może już wiesz, Windows umożliwia udostępnianie motywów w Ustawieniach. Można to zrobić, otwierając Ustawienia> Personalizacja> Motywy, a następnie wybierając opcję „Zapisz motyw do udostępnienia'z menu. Spowoduje to utworzenie nowego *.deskthemepackktóre użytkownik może przesyłać do Internetu, wysyłać pocztą e-mail lub udostępniać innym na różne sposoby. Inni użytkownicy mogą pobrać takie pliki i zainstalować je jednym kliknięciem.
Atakujący może w podobny sposób utworzyć plik „.theme”, w którym domyślne ustawienie tapety wskazuje na witrynę internetową wymagającą uwierzytelnienia. Gdy niczego niepodejrzewający użytkownicy wprowadzają swoje poświadczenia, do witryny jest wysyłany skrót NTLM szczegółów w celu uwierzytelnienia. Niezłożone hasła są następnie otwierane przy użyciu specjalnego oprogramowania do usuwania haszowania.
[Sztuczka dotycząca zbierania poświadczeń] Korzystając z pliku .theme systemu Windows, klawisz Wallpaper można skonfigurować tak, aby wskazywał na zdalny zasób http / s wymagający uwierzytelnienia. Gdy użytkownik aktywuje plik motywu (np. Otwarty z linku / załącznika), zostanie wyświetlony monit systemu Windows o kredyt.
Czym są pliki * .theme?
Z technicznego punktu widzenia pliki * .theme to pliki * .ini, które zawierają szereg sekcji, które system Windows odczytuje i zmienia wygląd systemu operacyjnego zgodnie z instrukcjami, które znalazł. Plik motywu określa kolor akcentu, tapety do zastosowania i kilka innych opcji.
jak przesyłać pliki z komputera na telefon z systemem Android za pomocą Wi-Fi?
Jedna z jego sekcji wygląda następująco.
[Panel sterowania Pulpit] Wallpaper =% WinDir% web wallpaper Windows img0.jpg
Klawisz tapety znajduje się w sekcji „Panel sterowania Pulpit” pliku .theme. Inne klucze mogą być prawdopodobnie używane w ten sam sposób i może to również działać w przypadku ujawniania wartości skrótu netNTLM, gdy jest ustawiony na zdalne lokalizacje plików, mówi Jimmy Bayne.
Badacz zapewnia metoda łagodzenia problemu.
Z perspektywy defensywnej blokuj / ponownie kojarz / szukaj rozszerzeń „motyw”, „pakiet tematyczny”, „plik pakietu pulpitu”. W przeglądarkach przed otwarciem użytkownikom należy przedstawić czek. W ostatnich latach ujawniono inne wulgaryzmy CVE, dlatego warto się nimi zająć i ograniczyć
Źródło: Neowin
