Темы для Windows 10 могут использоваться для похищения паролей

Темы для Windows 10 могут использоваться для похищения паролей

Злоумышленники могут использовать темы для Windows 10 для осуществления атаки Pass-the-Hash.

image

Особым образом сконфигурированные темы и пакеты тем для Windows 10 могут использоваться злоумышленниками для осуществления атаки Pass-the-Hash и незаметного похищения учетных данных пользователей Windows.

Windows позволяет пользователям создавать собственные темы, самостоятельно выбирать цвета, звуки, вид курсора мыши и обои. Пользователи также могут переключаться между темами, если захочется изменить внешний вид операционной системы.

Настройки для тем сохраняются в виде файла с расширением .theme в папке %AppData%\Microsoft\Windows\Themes. Темами можно обмениваться с другими пользователями, нажав правой кнопкой мыши на активную тему и выбрав соответствующую опцию. В таком случае тема сохраняется в файле с расширением .deskthemepack, который можно отправить по электронной почте или загрузить на сайт. Для установки темы достаточно дважды кликнуть на файл.

По словам исследователя безопасности Джимми Бэйна (Jimmy Bayne), особым образом сконфигурированные темы для Windows могут использоваться для осуществления атаки Pass-the-Hash. Подобные атаки осуществляются с целью похищения логинов и хэшей паролей. Для этого злоумышленники должны обманным путем вынудить жертву использовать протокол SMB, для чего потребуется аутентификация.

При попытке доступа к удаленному ресурсу Windows автоматически попытается авторизоваться в удаленной системе путем отправки логина и NTLM-хэша пароля пользователя. В атаке Pass-the-Hash отправляемые учетные данные перехватываются злоумышленником, который затем может расшифровать пароль.

В представленной Бэйном атаке злоумышленник может создать особый файл с расширением .theme и изменить настройки обоев рабочего стола таким образом, чтобы использовался удаленный ресурс, требующий аутентификации.

Когда ОС попытается получить доступ к удаленному, требующему аутентификации ресурсу, она также автоматически попытается авторизоваться путем отправки NTLM-хэша пароля и логина пользователя. Благодаря этому злоумышленник сможет перехватить учетные данные и расшифровать пароль с помощью специальных скриптов.

Бэйн уведомил о проблеме компанию Microsoft ранее в нынешнем году, однако ему сообщили, что она не подлежит исправлению, поскольку является «предусмотренной функцией».

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle