Nakikita nila ang isang banta na gumagamit ng mga "handa" na tema sa Windows upang nakawin ang mga password sa pag-access ng aming computer

Ang kakayahang baguhin ang hitsura ng aming kagamitan ay isa sa mga aspeto na pinakagusto ng mga user. Pagbabago ng iyong desktop layout ay kasingdali ng pag-download at paglalapat ng tema. At sa katunayan, dito nakita natin ang mga tema at disenyo na, halimbawa, pana-panahong inilulunsad ng Microsoft sa application store nito.

"

Windows 10 na mga tema at theme pack ay nag-aalok ng malaking bilang ng mga opsyon at halos lahat ng mga ito ay ligtas, lalo na ang mga inilabas ng Microsoft.At halos lahat ay tinutukoy namin kapag pinag-uusapan ang tungkol sa seguridad, dahil sa pagkatuklas ng isang mananaliksik na nakahanap ng mga espesyal na idinisenyong tema upang nakawin ang aming mga password "

Pass-the-Hash Attacks

Ang mga tema ay nagbibigay-daan sa na baguhin ang halos anumang aspeto ng aming desktop Kulay, background, icon, cursor... halos lahat ay maaaring baguhin ng mga tema na dina-download o na-customize namin sa aming sarili. Lumilikha ang mga tema ng configuration na nakaimbak sa path na AppData%\Microsoft\Windows\Themes bilang isang file na may extension na .theme.

"

Ang resulta, ang file na may extension na .theme, ay maaaring ibahagi sa ibang user at dito nakasalalay ang problemang natuklasan ng researcher na si @bohops sa kanyang Twitter account. Mga tema na espesyal na naka-package para magsagawa ng Pass-the-Hash (PtH) na pag-atake sa aming mga computer."

Madaling pag-atake na isagawa at kaya't sa Bleeping Computer ay sinunod nila ang pamamaraang ito at nagawa nilang makuha ang password nang walang karagdagang komplikasyon.

Isang uri ng pag-atake na naglalayong magnakaw ng mga kredensyal upang makakuha ng access sa iba pang bahagi ng system na may layuning makakuha ng kabuuang kontrol ng ito at pag-access sa lahat ng uri ng impormasyong iniimbak namin at umiikot sa operating system.

Sinusubukan ng attacker na i-access at makuha ang mga kredensyal sa pag-log in sa computer upang, kapag naabot na, makilala niya ang kanyang sarili sa ibang mga computer na konektado sa network. Ito ay isang tanong ng pag-access sa mga hash value ng password at sa ganitong paraan ma-access ang lahat ng uri ng serbisyo. Sa kasong ito, ito ay hindi isang katanungan ng pag-access sa password sa plain text, ngunit sa halip ang NTLM hash, na ginagawang mas madaling isagawa ang pag-atake.

Sa kasong ito, ginagawa ng binagong .theme file na ito ay baguhin ang mga setting upang ang tema ay kailangang maghanap ng mapagkukunan o isang malayuang file na nangangailangan ng pagpapatunay. Sa puntong iyon kapag sinubukan mong i-access ang file na iyon nang malayuan, awtomatiko nitong susubukang mag-login sa pamamagitan ng pagpapadala ng NTLM hash at ang Windows account username.

Sa sitwasyong ito, ang solusyon na inirerekomenda ng nakatuklas ng banta ay huwag mag-download o mag-install ng mga file gamit ang mga extension na ito, lalo na kapag nagmula sila sa mga hindi mapagkakatiwalaang site. Ang isa pa, mas sukdulan, ay nagsasangkot ng pag-block sa lahat ng .theme, .themepack na mga extension ng file. at .desktopthemepackfile, ngunit sa ganitong paraan hindi namin mababago ang mga tema sa aming computer.

Via | Bleeping Computer