Una nova troballa de l’investigador de seguretat Jimmy Bayne , que ho ha revelat a Twitter, revela una vulnerabilitat al motor de temes de Windows 10 que es pot utilitzar per robar les credencials dels usuaris. Un tema especial amb un format incorrecte, quan s’obre, redirigeix els usuaris a una pàgina que demana als usuaris que introdueixin les seves credencials.
Anunci publicitari
com fer que la descàrrega de Steam sigui més ràpida el 2015
Com ja sabreu, Windows permet compartir temes a Configuració. Això es pot fer obrint Configuració> Personalització> Temes i després seleccionant a 'Desa el tema per compartir
'al menú. Això crearà un nou *fitxer .deskthemepack
que l'usuari pot carregar a Internet, enviar-lo per correu electrònic o compartir-lo amb altres usuaris mitjançant diversos mètodes. Altres usuaris poden descarregar aquests fitxers i instal·lar-los amb un sol clic.
De manera similar, un atacant pot crear un fitxer '.theme' en què la configuració de fons de pantalla predeterminada apunta a un lloc web que requereix autenticació. Quan els usuaris desconfiats introdueixen les seves credencials, s'envia al hash un hash NTLM de les dades per a l'autenticació. Les contrasenyes no complexes s’obren després mitjançant un programari especial de descomposició.
[Truc de recollida de credencials] Mitjançant un fitxer .theme de Windows, es pot configurar la tecla de fons de pantalla per apuntar a un recurs http / s que requereix una autenticació remota. Quan un usuari activa el fitxer del tema (per exemple, obert des d’un enllaç / fitxer adjunt), es mostra un missatge de crèdit de Windows a l’usuari.
Què són els fitxers * .theme?
Tècnicament, els fitxers * .theme són fitxers * .ini que inclouen diverses seccions que Windows llegeix i canvia l’aspecte del sistema operatiu segons les instruccions que ha trobat. El fitxer de tema especifica el color d’accent, els fons de pantalla que cal aplicar i algunes opcions més.
com utilitzar chromecast com a segon monitor
Una de les seves seccions té el següent aspecte.
[Tauler de control Escriptori]
Wallpaper =% WinDir% web wallpaper Windows img0.jpg
Especifica el fons de pantalla predeterminat aplicat quan l'usuari instal·la el tema. En lloc del camí local, apunta l’investigador, es pot configurar en un recurs remot que es pot utilitzar per fer que l’usuari introdueixi les seves credencials. La clau del fons de pantalla es troba a la secció 'Tauler de control Escriptori' del fitxer .theme. Possiblement, es puguin utilitzar altres claus de la mateixa manera, i això també pot funcionar per a la divulgació de hash netNTLM quan es defineix per a ubicacions de fitxers remots, diu Jimmy Bayne.
L’investigador proporciona un mètode per mitigar el problema.
Des d'una perspectiva defensiva, bloquejar / tornar a associar / buscar les extensions 'theme', 'themepack', 'desktopthemepackfile'. Als navegadors, els usuaris haurien de presentar un xec abans d’obrir-los. Altres anys vulgars de CVE s'han divulgat els darrers anys, per la qual cosa val la pena abordar-los i mitigar-los
Font: Neowin